NCH ISO 27002 2013

NORMA NCh-ISO 27002
CHILENA
Segunda edicin
2013.10.25
Tecnologas de la informacin - Tcnicas

de seguridad - Cdigo de prcticas para
los controles de seguridad de la
informacin
Information technology - Security techniques - Code of practice for

information security controls
Nmero de referencia
NCh-ISO 27002:2013
INN 2013
NCh-ISO 27002:2013 NORMA CHILENA
DOCUMENTO PROTEGIDO POR COPYRIGHT

INN 2013
Derechos de autor:
La presente Norma Chilena se encuentra protegida por derechos de autor o copyright, por lo cual, no puede ser reproducida o utilizada
en cualquier forma o por cualquier medio, electrnico o mecnico, sin permiso escrito del INN. La publicacin en Internet se encuentra
prohibida y penada por la ley.
Se deja expresa constancia que en caso de adquirir algn documento en formato impreso, ste no puede ser copiado (fotocopia, digitalizacin o
similares) en cualquier forma. Bajo ninguna circunstancia puede ser revendida. Asimismo, y sin perjuicio de lo indicado en el prrafo anterior, los
documentos adquiridos en formato .pdf, tiene autorizada slo una impresin por archivo, para uso personal del Cliente. El Cliente ha comprado una
sola licencia de usuario para guardar este archivo en su computador personal. El uso compartido de estos archivos est prohibido, sea que se
materialice a travs de envos o transferencias por correo electrnico, copia en CD, publicacin en Intranet o Internet y similares.
Si tiene alguna dificultad en relacin con las condiciones antes citadas, o si usted tiene alguna pregunta con respecto a los derechos de autor, por
favor contacte la siguiente direccin:
Instituto Nacional de Normalizacin - INN

Matas Cousio 64, piso 6 Santiago de Chile
Tel. + 56 2 445 88 00
Fax + 56 2 441 04 29
Correo Electrnico info@inn.cl
Sitio Web www.inn.cl
Publicado en Chile
NORMA CHILENA NCh-ISO 27002:2013
Contenido Pgina
Prembulo ............................................................................................................................................. iii

0 Introduccin........................................................................................................................................... 1
0.1 Alcance y contexto ............................................................................................................................... 1
0.2 Requisitos de la seguridad de la informacin ................................................................................... 2
0.3 Seleccin de controles ......................................................................................................................... 2
0.4 Desarrollo de sus propias pautas ....................................................................................................... 2
0.5 Consideraciones sobre el ciclo de vida.............................................................................................. 2
0.6 Normas relacionadas ............................................................................................................................ 3
1 Alcance y campo de aplicacin .......................................................................................................... 3
2 Referencias normativas........................................................................................................................ 3
3 Trminos y definiciones ....................................................................................................................... 3
4 Estructura de esta norma ..................................................................................................................... 4
4.1 Clusulas .............................................................................................................................................. 4
4.2 Categoras de control ........................................................................................................................... 4
5 Polticas de seguridad de la informacin ........................................................................................... 4
5.1 Orientacin de administracin para la seguridad de la informacin .............................................. 4
6 Organizacin de la seguridad de la informacin ............................................................................... 6
6.1 Organizacin interna ............................................................................................................................ 6
6.2 Dispositivos mviles y teletrabajo ...................................................................................................... 9
7 Seguridad de recursos humanos ...................................................................................................... 12
7.1 Antes del empleo ................................................................................................................................ 12
7.2 Durante el empleo ............................................................................................................................. 14
7.3 Despido y cambio de empleo ............................................................................................................ 17
8 Administracin de activos ................................................................................................................. 17
8.1 Responsabilidad por los activos....................................................................................................... 17
8.2 Clasificacin de la informacin ......................................................................................................... 19
8.3 Manejo de medios ............................................................................................................................... 21
9 Control de acceso ............................................................................................................................... 23
9.1 Requisitos comerciales del control de acceso................................................................................ 23
9.2 Administracin de acceso a los usuarios ........................................................................................ 26
9.3 Responsabilidades de los usuarios.................................................................................................. 30
9.4 Control de acceso de sistemas y aplicaciones ............................................................................... 31
10 Criptografa .......................................................................................................................................... 34
10.1 Controles criptogrficos .................................................................................................................... 34
11 Seguridad fsica y ambiental.............................................................................................................. 37
11.1 Areas seguras ..................................................................................................................................... 37
11.2 Equipos ................................................................................................................................................ 40
12 Seguridad de las operaciones ........................................................................................................... 46
12.1 Procedimientos y responsabilidades operacionales...................................................................... 46
12.2 Proteccin contra malware ................................................................................................................ 49
12.3 Respaldo .............................................................................................................................................. 51
12.4 Registro y monitoreo .......................................................................................................................... 52
12.5 Control de software operacional ....................................................................................................... 54
12.6 Administracin de vulnerabilidades tcnicas.................................................................................. 55
12.7 Consideraciones sobre la auditora de los sistemas de informacin ........................................... 57
INN 2012 - Todos los derechos reservados i

Contenido Pgina
13 Seguridad en las comunicaciones .................................................................................................... 58

13.1 Administracin de la seguridad de redes .........................................................................................58
13.2 Transferencia de informacin ............................................................................................................60
14 Adquisicin, desarrollo y mantenimiento de sistemas ................................................................... 64
14.1 Requisitos de seguridad de los sistemas de informacin..............................................................64
14.2 Seguridad en los procesos de desarrollo y soporte .......................................................................67
14.3 Datos de pruebas.................................................................................................................................73
15 Relaciones con los proveedores ....................................................................................................... 74
15.1 Seguridad de la informacin en las relaciones con los proveedores .......................................74
15.2 Administracin de prestacin de servicios de proveedores .....................................................77
16 Administracin de incidentes de seguridad de la informacin ................................................. 79
16.1 Administracin de incidentes y mejoras de seguridad en la informacin................................79
17 Aspectos de la seguridad de la informacin de la administracin de la continuidad
comercial ....................................................................................................................................... 84
17.1 Continuidad de la seguridad de la informacin ..........................................................................84
17.2 Redundancias ................................................................................................................................86
18 Cumplimiento................................................................................................................................. 87
18.1 Cumplimiento con los requisitos legales y contractuales .........................................................87
18.2 Revisiones de la seguridad de la informacin ............................................................................90
Anexos
Anexo A (informativo) Bibliografa .......................................................................................................... 93
Anexo B (informativo) Justificacin de los cambios editoriales ........................................................... 96
ii INN 2013 - Todos los derechos reservados

Tecnologas de la informacin - Tcnicas de seguridad - Cdigo

de prcticas para los controles de seguridad de la informacin
Prembulo
El Instituto Nacional de Normalizacin, INN, es el organismo que tiene a su cargo el estudio y preparacin de
las normas tcnicas a nivel nacional. Es miembro de la INTERNATIONAL ORGANIZATION FOR
STANDARDIZATION (ISO) y de la COMISION PANAMERICANA DE NORMAS TECNICAS (COPANT),
representando a Chile ante esos organismos.
Esta norma se estudi por el Comit Tcnico Conjunto de caracteres y codificacin, y brinda orientacin para
las normas de seguridad de informacin organizacional y las prcticas de administracin de seguridad de la
informacin incluida la seleccin, la implementacin, la administracin y los controles considerando los
entornos de riesgo de seguridad de la informacin de la organizacin
Esta norma es idntica a la versin en ingls de la Norma ISO/IEC 27002:2013 Information technology -
Security techniques - Code of practice for information security controls.
La Nota Explicativa incluida en un recuadro en clusula 2 Referencias normativas y Anexo A Bibliografa, es

un cambio editorial que se incluye con el propsito de informar la correspondencia con Norma Chilena de las
Normas Internacionales citadas en esta de norma.
Para los propsitos de esta norma, se han realizado los cambios editoriales que se indican y justifican en
Anexo B.
Los Anexos A y B no forman parte de la norma, se insertan slo a ttulo informativo.
Si bien se ha tomado todo el cuidado razonable en la preparacin y revisin de los documentos normativos
producto de la presente comercializacin, INN no garantiza que el contenido del documento es actualizado o
exacto o que el documento ser adecuado para los fines esperados por el cliente.
En la medida permitida por la legislacin aplicable, el INN no es responsable de ningn dao directo,
indirecto, punitivo, incidental, especial, consecuencial o cualquier dao que surja o est conectado con el uso
o el uso indebido de este documento.
Esta norma ha sido aprobada por el Consejo del Instituto Nacional de Normalizacin, en sesin efectuada el
25 de octubre de 2013.
INN 2012 - Todos los derechos reservados iii

Tecnologas de la informacin -Tcnicas de seguridad - Cdigo

de prcticas para los controles de seguridad de la informacin
0 Introduccin
0.1 Alcance y contexto
Esta norma est diseada para que las organizaciones la utilicen como referencia al seleccionar los controles
dentro del proceso para la implementacin de un Sistema de Gestin de Seguridad de la Informacin (SGSI)
en base a ISO/IEC 27001 o como un documento de orientacin para las organizaciones que implementan
controles de seguridad de informacin de aceptacin comn. Esta norma tambin est hecha para utilizarse
en el desarrollo de pautas de administracin de seguridad de la industria y especficas para la organizacin,
considerando sus entornos especficos de riesgo de seguridad de la informacin.
Las organizaciones de todos los tipos y tamaos (incluido el sector pblico y privado, comercial y sin fines de
lucro) recopilan, procesan y transmiten informacin de varias formas incluidas las electrnicas, fsicas y
verbales (es decir, conversaciones y presentaciones).
El valor de la informacin traspasa las palabras escritas, los nmeros y las imgenes: el conocimiento, los
conceptos, las ideas y las marcas son ejemplos de formas intangibles de informacin. En un mundo
interconectado, la informacin y los procesos relacionados, los sistemas, redes y el personal involucrado en
su operacin, manipulacin y proteccin son activos que, al igual que otros activos comerciales de
importancia, resultan valiosos para el negocio de la organizacin y, por lo tanto, merecen o requieren
proteccin contra diversos peligros.
Los activos estn sujetos tanto a amenazas deliberadas como accidentales, mientras que los procesos,
sistemas, redes y personas relacionadas poseen vulnerabilidades inherentes. Los cambios en los procesos y
sistemas comerciales u otros cambios externos (como las nuevas leyes y normativas) pueden generar nuevos
riesgos para la seguridad de la informacin. Por lo tanto, dada la multitud de formas en que las amenazas se
pueden aprovechar de las vulnerabilidades para daar a la organizacin, los riesgos en la seguridad de la
informacin siempre estn presentes. La seguridad eficaz en la informacin reduce estos riesgos al proteger a la
organizacin contra las amenazas y vulnerabilidades y luego reduce el impacto en sus activos.
La seguridad de la informacin se logra implementando un conjunto de controles adecuado, que incluye polticas,
procesos, procedimientos, estructuras organizacionales y funciones de software y hardware. Estos controles se
deberan establecer, implementar, monitorear, revisar y mejorar donde sea necesario para garantizar que se
cumplen los objetivos especficos comerciales y de seguridad de las organizaciones. Un SGSI como el que se
especifica en ISO/IEC 27001 toma un punto de vista holstico y coordinado de los riesgos de seguridad de la
informacin de la organizacin para poder implementar una suite integral de controles de seguridad de la
informacin bajo el marco general completo de un sistema de administracin coherente.
Muchos sistemas de informacin no se han diseado para ser seguros en el aspecto de ISO/IEC 27001 y esta
norma. La seguridad que se puede lograr a travs de medios tcnicos es limitada y debera estar respaldada por
la administracin y procedimientos adecuados. La identificacin de los controles que se deberan poner en
vigencia requiere de una planificacin minuciosa y detallada. Un SGSI correcto requiere del apoyo de todos los
empleados de la organizacin. Tambin puede requerir la participacin de accionistas, proveedores y otras partes
externas. Tambin es posible que se necesite asesora de especialistas de partes externas.
En un sentido ms amplio, la seguridad de la informacin eficaz tambin garantiza a la direccin y a otras

partes interesadas que los activos de la organizacin se encuentran razonablemente seguros y protegidos
contra daos y, por lo tanto, que actan como una herramienta de apoyo para el negocio.
INN 2013 - Todos los derechos reservados 1

0.2 Requisitos de la seguridad de la informacin
Es fundamental que una organizacin identifique sus requisitos de seguridad. Existen tres fuentes principales
de requisitos de seguridad:
a) la evaluacin de los riesgos para la organizacin, considerando la estrategia y los objetivos generales de
la organizacin. Las amenazas a los activos se identifican a travs de una evaluacin de riesgos, se
evala adems la vulnerabilidad y la probabilidad de su ocurrencia y se estima su posible impacto;
b) los requisitos legales, estatutarios, normativos y contractuales que una organizacin, sus socios
comerciales, contratistas y proveedores de servicio deberan satisfacer y su entorno sociocultural;
c) el conjunto de principios, objetivos y requisitos comerciales para el manejo, el procesamiento, el

almacenamiento, la comunicacin y el archivado de la informacin que ha desarrollado una empresa para
apoyar a sus operaciones.
Los recursos empleados en la implementacin de controles se deberan equilibrar contra el probable dao al
negocio que puede surgir de los problemas de seguridad en la ausencia de estos controles. Los resultados
de una evaluacin de riesgos ayudarn a guiar y determinar las acciones y prioridades de gestin adecuadas
para administrar los riesgos de seguridad de la informacin y para implementar los controles seleccionados
para protegerse contra estos riesgos.
La norma ISO/IEC 27005 proporciona orientacin sobre la administracin de riesgos de seguridad de la

informacin e incluye datos sobre la evaluacin de riesgos, el tratamiento de riesgos, la aceptacin de
riesgos, la comunicacin de riesgos, el monitoreo de riesgos y la revisin de riesgos.
0.3 Seleccin de controles

Los controles se pueden seleccionar a partir de esta norma o de otros conjuntos de controles, o bien se
pueden disear nuevos controles para cumplir con las necesidades especficas segn sea necesario.
La seleccin de los controles depende de las decisiones organizacionales en base a los criterios para la
aceptacin de riesgos, las opciones de tratamiento de riesgos y el enfoque de administracin general de
riesgos que se aplica a la organizacin y tambin estar sujeta a toda la legislacin y normativas nacionales e
internacionales pertinentes. La seleccin del control tambin depende de la forma en que interactan los
controles para brindar proteccin en profundidad.
Algunos de los controles de esta norma se pueden considerar como principios gua para la administracin de
la seguridad de la informacin y se pueden aplicar a la mayora de las organizaciones. Los controles se
explican en mayor detalle a continuacin junto con la orientacin sobre la implementacin. Puede encontrar
ms informacin sobre la seleccin de controles y opciones de tratamiento de riesgos en ISO/IEC 27005.
0.4 Desarrollo de sus propias pautas

Esta norma se puede considerar como un punto de partida para desarrollar pautas especficas para la
organizacin. Es posible que no todos los controles y pautas de este cdigo de prcticas se puedan aplicar.
Ms an, es posible que se requieran controles y pautas adicionales que no se incluyen en esta norma.
Cuando los documentos se desarrollan conteniendo pautas o controles adicionales, puede resultar til incluir
referencias cruzadas a las clusulas en esta norma donde corresponda para facilitar la comprobacin del
cumplimiento por parte de los auditores y los socios comerciales.
0.5 Consideraciones sobre el ciclo de vida

La informacin tiene un ciclo de vida natural, desde la creacin y el origen, pasando por el almacenamiento, el
procesamiento, el uso y la transmisin, hasta su eventual destruccin o decaimiento. El valor y los riesgos a los
activos puede variar a lo largo de su vida til (es decir, la divulgacin no autorizada o robo de las cuentas
financieras de una empresa es mucho menos importante despus de que se han publicado formalmente), pero
la seguridad de la informacin sigue siendo importante en cierta medida en todas las etapas.
2 INN 2013 - Todos los derechos reservados

Los sistemas de informacin tienen ciclos de vida dentro de los que se conciben, especifican, disean,
desarrollan, prueban, implementan, utilizan, mantienen y que con el tiempo se retiran de servicio y se
eliminan. La seguridad de la informacin se debera considerar en todas las etapas. Los nuevos desarrollos y
cambios a los sistemas existentes presentan oportunidades para que las organizaciones actualicen y mejoren
los controles de seguridad, considerando los incidentes reales y los riesgos de seguridad de la informacin
actuales y proyectados.
0.6 Normas relacionadas
Si bien esta norma ofrece orientacin sobre una amplia gama de controles de seguridad de la informacin
que se aplican comnmente en muchas organizaciones distintas, las normas restantes en la familia
ISO/IEC 27000 brindan consejos o requisitos complementarios sobre el resto de los aspectos del proceso
general de la administracin de la seguridad de la informacin.
Consulte ISO/IEC 27000 para obtener una presentacin general tanto de SGSI como de la familia de normas.
ISO/IEC 27000 entrega un glosario, que define formalmente la mayora de los trminos que se utilizan en la
familia de normas ISO/IEC 27000 y describe el alcance y los objetivos para cada miembro de la familia.
1 Alcance y campo de aplicacin

Esta norma brinda orientacin para las normas de seguridad de informacin organizacional y las prcticas de
administracin de seguridad de la informacin incluida la seleccin, la implementacin, la administracin y los
controles considerando los entornos de riesgo de seguridad de la informacin de la organizacin.
Esta norma est diseada para que la utilicen las organizaciones que tienen la intencin de:
a) seleccionar controles dentro del proceso de implementacin de un Sistema de Administracin de

Seguridad de la Informacin basado en ISO/IEC 27001;
b) implementar controles de seguridad de la informacin de aceptacin comn;
c) desarrollar sus propias pautas de administracin de seguridad de la informacin.
2 Referencias normativas
El siguiente documento, en su totalidad o en parte, hace referencia a la normativa de este documento y es

indispensable para su aplicacin. Para las referencias con fechas, solo aplica la edicin citada. Para las
referencias sin fecha, se aplica la edicin ms reciente del documento al que se hace referencia (incluida
cualquier modificacin).
ISO/IEC 27000 Information technology - Security techniques - Information security management

systems - Overview and vocabulary.
NOTA EXPLICATIVA NACIONAL
La equivalencia de la Norma Internacional sealada anteriormente con Norma Chilena, y su grado de correspondencia
es el siguiente:
Norma internacional Norma nacional Grado de correspondencia
ISO/IEC 27000 No hay -
3 Trminos y definiciones
Para los propsitos de este documento, se aplican los trminos y definiciones descritos en ISO/IEC 27000.

4 Estructura de esta norma

Esta norma contiene 14 clusulas de control de seguridad que en conjunto contienen un total de 35
categoras de seguridad principales y 114 controles.
4.1 Clusulas
Cada clusula que define los controles de seguridad contiene una o ms de las principales categoras de
seguridad. El orden de las clusulas en esta norma no implica su importancia. En funcin de las
circunstancias, los controles de seguridad que provienen de cualquiera o todas las clusulas podran resultar
importantes, por lo tanto, cada organizacin que aplica esta norma debera identificar los controles
pertinentes, lo importante que son y su aplicacin a los procesos comerciales individuales. Ms an, las listas
de esta norma no se enumeran en orden de prioridad.
4.2 Categoras de control

Cada categora de control de seguridad principal contiene:
a) un objetivo de control que indica lo que se lograr;
b) uno o ms controles que se pueden aplicar para lograr el objetivo de control.
Las descripciones de control se estructuran de la siguiente forma:
Control
Define el enunciado del control especfico para satisfacer el objetivo de control.
Orientacin sobre la implementacin
Proporciona informacin ms detallada para apoyar la implementacin del control y el cumplimiento del
objetivo de control. Es posible que la orientacin no sea completamente adecuada o suficiente en todas las
situaciones y es posible que no cumpla con los requisitos de control especficos.
Otra informacin
Brinda ms informacin que es posible que se deba considerar, por ejemplo, consideraciones legales y
referencias a otras normas. Si no existe ms informacin para proporcionar no se mostrar esta parte.
5 Polticas de seguridad de la informacin

5.1 Orientacin de administracin para la seguridad de la informacin
Objetivo: dar orientacin y apoyo en la administracin para la seguridad de la informacin de acuerdo con los
requisitos comerciales y las leyes y normativas pertinentes.
5.1.1 Polticas para la seguridad de la informacin
Control
Se debera definir un conjunto de polticas para la seguridad de la informacin y la debera aprobar la

direccin para publicarla y comunicarla a los empleados y a todas las partes externas pertinentes.
En el nivel ms alto, las organizaciones deberan definir una poltica de seguridad de la informacin" que la
aprueba la direccin y que establece el enfoque de la organizacin para administrar sus objetivos de
seguridad de la informacin.

Las polticas de seguridad de la informacin deberan abordar los requisitos creados por:
a) estrategia comercial;
b) normativas, legislacin y contratos;
c) el entorno de amenazas a la seguridad actual y proyectada.
La poltica de seguridad de la informacin debera tener enunciados respecto a lo siguiente:
a) definicin de la seguridad de la informacin, los objetivos y principios para guiar a todas las actividades
relacionadas con la seguridad de la informacin;
b) asignacin de responsabilidades generales y especficas para la administracin de la seguridad de la

informacin de acuerdo a los roles definidos;
c) procesos para manejar desviaciones y excepciones.
A un nivel inferior, la poltica de seguridad de la informacin se debera respaldar por polticas especficas de
un tema, que estipula la implementacin de controles de seguridad de la informacin y que tpicamente se
estructura para abordar las necesidades de ciertos grupos objetivo dentro de una organizacin para abarcar
ciertos temas.
Algunos ejemplos de dichos temas de polticas incluyen:
a) control de accesos (ver clusula 9);
b) clasificacin de la informacin (y manejo) (ver 8.2);
c) seguridad fsica y ambiental (ver clusula 11);
d) temas orientados al usuario final como:
1) uso aceptable de activos (ver 8.1.3);
2) escritorio despejado y pantalla despejada (ver 11.2.9);
3) transferencia de informacin (ver 13.2.1);
4) dispositivos mviles y teletrabajo (ver 6.2);
5) restricciones sobre las instalaciones y el uso de software (ver 12.6.2);
e) respaldo (ver 12.3);
f) transferencia de informacin (ver 13.2);
g) proteccin contra malware (ver 12.2);
h) administracin de vulnerabilidades tcnicas (ver 12.6.1);
i) controles criptogrficos (ver clusula 10);
j) seguridad en las comunicaciones (ver clusula 13);
k) privacidad y proteccin de informacin personal identificable (ver 18.1.4);
l) relaciones con los proveedores (ver clusula 15).

Estas polticas se deberan comunicar a los empleados y a las partes externas pertinentes de una forma
pertinente, accesible y comprensible para el lector deseado, es decir, en el contexto de un programa de
concientizacin, educacin y capacitacin sobre la seguridad de la informacin (ver 7.2.2).
Otra informacin
La necesidad de contar con polticas internas para la seguridad de la informacin vara entre las
organizaciones. Las polticas internas son especialmente tiles en organizaciones de mayor tamao y
complejidad, donde aquellos que definen y aprueban los niveles ampliados de control se segregan de los que
implementan los controles o en situaciones donde una poltica se aplica a varias personas o funciones
distintas de la organizacin. Las polticas para la seguridad de la informacin se pueden emitir en un
documento de poltica de seguridad de la informacin nico o como un conjunto de documentos individuales
pero relacionados.
Si se distribuye cualquier parte de las polticas de seguridad de la informacin fuera de la organizacin, se

debera tener cuidado de no divulgar informacin confidencial.
Algunas organizaciones utilizan otros trminos para estos documentos de polticas como Normas,
Directivas o Reglas.
5.1.2 Revisin de las polticas para la seguridad de la informacin
Control
Las polticas para la seguridad de la informacin se deberan planificar y revisar en intervalos o si ocurren
cambios significativos para garantizar su idoneidad, adecuacin y efectividad continua.
Cada poltica debera tener un titular que tenga responsabilidad administrativa aprobada para el desarrollo, la
revisin y la evaluacin de las polticas. La revisin debera incluir la evaluacin de oportunidades de mejora
en las polticas de la organizacin y un enfoque para administrar la seguridad de la informacin en respuesta
a los cambios en el entorno organizacional, las circunstancias comerciales, las condiciones legales o el
entorno tcnico.
La revisin de las polticas de la seguridad de la informacin debera considerar los resultados de las
revisiones administrativas.
Se debera obtener la aprobacin de la direccin para una poltica revisada.
6 Organizacin de la seguridad de la informacin
6.1 Organizacin interna
Objetivo: establecer un marco de administracin para iniciar y controlar la implementacin y operacin de la

seguridad de la informacin dentro de la organizacin.
6.1.1 Revisiones de los roles y responsabilidades de la seguridad en la informacin
Control
Se deberan definir y asignar todas las responsabilidades de seguridad de la informacin.

La asignacin de las responsabilidades de seguridad de la informacin se debera hacer de acuerdo con las
polticas de seguridad de la informacin (ver 5.1.1). Se deberan identificar las responsabilidades para la
proteccin de activos individuales y para realizar procesos de seguridad de la informacin. Se deberan
definir las responsabilidades para las actividades de administracin de riesgos de seguridad de la informacin
y en particular para la aceptacin de riesgos residuales. Estas responsabilidades se deberan complementar,
donde sea necesario, con orientacin ms detallada para los sitios especficos y las instalaciones de
procesamiento de informacin. Se deberan definir las responsabilidades para la proteccin de activos para
realizar procesos de seguridad de la informacin.
Las personas asignadas con responsabilidades de seguridad de la informacin pueden delegar las tareas de
seguridad a otros. Sin embargo, siguen siendo responsables y deberan determinar que cualquier tarea
delegada se haya realizado correctamente.
Se deberan indicar las reas por las que las personas son responsables. En particular, debera ocurrir lo
siguiente:
a) se deberan definir e identificar los actives y los procesos de seguridad de la informacin;
b) se debera asignar a la entidad responsable de cada activo o proceso de seguridad de la informacin y se

deberan documentar los detalles de la responsabilidad (ver 8.1.2);
c) se deberan definir y documentar los niveles de autorizacin;
d) para poder cumplir con las responsabilidades en el rea de seguridad de la informacin, las personas
asignadas deberan ser competentes en el rea y deberan contar con oportunidades para mantenerse al
da en los desarrollos;
e) se debera identificar y documentar la coordinacin y la supervisin de los aspectos de seguridad de la

informacin de las relaciones con los proveedores.
Otra informacin
Muchas organizaciones asignan a un gerente de seguridad de la informacin para tomar la responsabilidad

general del desarrollo y la implementacin de la seguridad de la informacin y para apoyar la identificacin de
controles.
Sin embargo, la responsabilidad para asignar recursos e implementar los controles a menudo estar a cargo
de los gerentes individuales. Una prctica comn es asignar a un titular para cada activo quien luego se hace
responsable de su proteccin diaria.
6.1.2 Segregacin de deberes
Control
Se deberan segregar los deberes y reas de responsabilidad en conflicto para reducir las oportunidades de
modificacin o uso indebido no autorizado o no intencional de los activos de la organizacin.
Se debera tener cuidado para que ninguna persona pueda acceder, modificar ni utilizar activos sin
autorizacin o deteccin. El inicio de un evento se debera separar de su autorizacin. Se debera considerar
la posibilidad de colusin en el diseo de controles.
Las organizaciones pequeas pueden encontrar la segregacin de labores como difcil de lograr, pero el principio
se debera aplicar en la mayor medida posible. Cuando sean difciles de segregar, se deberan considerar otros
controles como el monitoreo de actividades, seguimientos de auditora y supervisin de la direccin.

Otra informacin
La segregacin de deberes es un mtodo para reducir el riesgo de uso accidental o indebido deliberado de
los activos de una organizacin.
6.1.3 Contacto con las autoridades
Control
Se deberan mantener los contactos con las autoridades pertinentes correspondientes.
Las organizaciones deberan tener procedimientos en vigencia que especifiquen cundo y a qu autoridades
(es decir, de cumplimiento de la ley, entidades regulatorias, autoridades de supervisin) se debera contactar
y cmo se deberan informar los incidentes de seguridad de la informacin identificados de manera oportuna
(es decir, si se sospecha del incumplimiento de las leyes).
Otra informacin
Es posible que las organizaciones bajo ataques de internet deban tomar medidas contra el origen del ataque.
Mantener esos contactos puede ser un requisito para apoyar a la administracin de incidentes de la
seguridad de la informacin, (ver clusula 16) o el proceso de continuidad comercial y planificacin de
contingencia (ver clusula 17). Los contactos con las entidades normativas tambin resultan tiles para
anticiparse y prepararse para los cambios futuros en las leyes o normativas, que debera implementar la
organizacin. Los contactos con otras autoridades incluyen a los proveedores de servicios bsicos, de
servicios de emergencia, electricidad, salud y seguridad, es decir, departamentos de bomberos (en conexin
con la continuidad comercial), proveedores de telecomunicaciones (en conexin con el enrutamiento de lnea
y disponibilidad) y proveedores de agua (en conexin con las instalaciones de enfriamiento para el equipo).
6.1.4 Contacto con grupos de inters especiales
Control
Se deberan mantener los contactos adecuados con grupos de inters especiales u otros foros de seguridad
de especialistas y asociaciones profesionales.
La membresa en grupos o foros de inters especiales se debera considerar como un medio para:
a) mejorar el conocimiento sobre las buenas prcticas y permanecer al tanto de la informacin de seguridad
pertinente;
b) asegurarse de que la comprensin del entorno de seguridad de la informacin sea actual y completo;
c) recibir alertas tempranas de alertas, avisos y parches relacionados con los ataques y vulnerabilidades;
d) obtener acceso a informacin de especialistas sobre consejos de seguridad;
e) compartir e intercambiar informacin sobre las nuevas tecnologas, productos, amenazas y

vulnerabilidades
f) proporcionar puntos de enlace adecuados al tratar con incidentes de seguridad de la informacin (ver
clusula 16).

Otra informacin
Se pueden establecer acuerdos para compartir informacin a modo de mejorar la cooperacin y la

coordinacin de los problemas de seguridad. Dichos acuerdos deberan identificar los requisitos para la
proteccin de informacin confidencial.
6.1.5 Seguridad de la informacin en la administracin de proyectos
Control
Se debera abordar la seguridad de la informacin en la administracin de proyectos, sin importar el tipo de

proyecto.
Se debera integrar la seguridad de la informacin en los mtodos de administracin de proyectos de la

organizacin para asegurarse de que se identifican y abordan los riesgos de seguridad de la informacin
como parte de un proyecto. Esto se aplica generalmente a cualquier proyecto, sin importar su carcter, es
decir, un proyecto para un proceso comercial central, TI, administracin de instalaciones y otros procesos de
apoyo. Los mtodos de administracin de proyectos en uso deberan requerir que:
a) se incluyan los objetivos de seguridad de la informacin en los objetivos del proyecto.
b) se realice una evaluacin de riesgos de seguridad de la informacin en una etapa temprana del proyecto
para identificar los controles necesarios;
c) la seguridad de la informacin sea parte de todas las fases de la metodologa aplicada del proyecto.
Se deberan abordar y revisar las implicaciones de seguridad de manera regular en todos los proyectos. Se
deberan definir y asignar las responsabilidades para la seguridad de la informacin a los roles especificados
definidos en los mtodos de administracin del proyecto.
6.2 Dispositivos mviles y teletrabajo
Objetivo: garantizar la seguridad del teletrabajo y el uso de dispositivos mviles.
6.2.1 Poltica de dispositivos mviles
Control
Se debera adoptar una poltica y medidas de seguridad de apoyo para administrar los riesgos que se
presentan con el uso de dispositivos mviles.
Al utilizar dispositivos mviles, se debera tener cuidado de asegurar que la informacin comercial no se vea
comprometida. La poltica de dispositivos mviles debera considerar los riesgos de trabajar con dispositivos
mviles en entornos sin proteccin.
La poltica de dispositivos mviles debera considerar:
a) registro de dispositivos mviles;
b) requisitos para la proteccin fsica;
c) restriccin de la instalacin de software;

d) requisitos para las versiones de software de dispositivos mviles para la aplicacin de parches;
e) restriccin en la conexin a servicios de informacin;
f) controles de acceso;
g) tcnicas criptogrficas;
h) proteccin contra malware;
i) deshabilitacin, borrado o bloqueo remoto;
j) respaldos;
k) uso de servicios web y aplicaciones web.
Se debera ser cuidadoso al utilizar dispositivos mviles en lugares pblicos, salas de reuniones y otras reas
sin proteccin. Se debera contar con proteccin para evitar el acceso no autorizado o la divulgacin de la
informacin almacenada y procesada por estos dispositivos, es decir, mediante el uso de tcnicas
criptogrficas (ver clusula 10) y mediante la obligacin del uso de informacin de autenticacin secreta
(ver 9.2.4).
Los dispositivos mviles tambin se deberan proteger fsicamente contra el robo, especialmente cuando se
dejan, por ejemplo, en automviles u otros medios de transporte, en habitaciones de hotel, centros de
conferencia y lugares de reunin. Se debera establecer un procedimiento especfico que considere los
requisitos legales, de seguros y otros de seguridad de la organizacin para casos de robo o prdida de
dispositivos mviles. Los dispositivos que contengan informacin comercial importante, sensible o crtica no
se deberan dejar sin supervisin y, donde sea posible, se deberan guardar con llave o se deberan utilizar
bloqueos especiales para proteger a los dispositivos.
Se deberan organizar capacitaciones para el personal que utiliza dispositivos mviles y concientizarlos sobre
los riesgos adicionales que genera esta forma de trabajo y los controles que se deberan implementar.
Donde la poltica de dispositivos mviles permita el uso de dispositivos mviles de propiedad privada, la
poltica y las medidas de seguridad relacionadas tambin deberan considerar:
a) separacin del uso privado y comercial de los dispositivos, incluido el uso de software para apoyar dicha
separacin y proteger los datos comerciales en un dispositivo privado;
b) proporcionar acceso a la informacin comercial solo despus de que los usuarios hayan firmado un
acuerdo de usuario final que reconozca sus deberes (proteccin fsica, actualizacin de software, etc.),
renunciando a la propiedad de los datos comerciales, permitiendo el borrado remoto de datos por parte
de la organizacin en caso de robo o prdida del dispositivo o cuando ya no est autorizado a utilizar el
servicio. Esta poltica debera considerar la legislacin de privacidad.
Otra informacin
Las conexiones inalmbricas de dispositivos mviles son similares a otros tipos de conexin de redes, pero
tienen diferencias importantes que se deberan considerar al identificar los controles. Las diferencias tpicas
son:
a) algunos protocolos de seguridad inalmbricas son inmaduros y tienen debilidades conocidas;
b) es posible que la informacin almacenada en dispositivos no se respalde en los dispositivos mviles

debido a un ancho de banda limitado o debido a que los dispositivos mviles pueden no estar siempre
conectados cuando se han programado los respaldos.

Los dispositivos mviles generalmente comparten funciones comunes, es decir, el funcionamiento en redes,
el acceso a internet, correo electrnico y el manejo de archivos con dispositivos de uso fijo. Los controles de
seguridad de la informacin para los dispositivos mviles generalmente constan de aquellos adoptados en
dispositivos de uso fijo y aquellos que abordan las amenazas que surgen de su uso fuera de las
dependencias de la organizacin.
6.2.2 Teletrabajo
Control
Se debera implementar una poltica y medidas que apoyen la seguridad para proteger la informacin a la que
se accede, procesa o almacena en los sitios de teletrabajo.
Las organizaciones que permiten las actividades de teletrabajo deberan emitir una poltica que define las
condiciones y las restricciones del uso del teletrabajo. Se deberan considerar los siguientes asuntos donde
se considere aplicable y lo permita la ley:
a) la seguridad fsica existente del sitio de teletrabajo, considerando la seguridad fsica del edificio y del
entorno local;
b) el entorno de teletrabajo fsico propuesto;
c) los requisitos de seguridad para las comunicaciones, considerando la necesidad de contar con acceso
remoto a los sistemas internos de la organizacin, la sensibilidad de la informacin a la que se acceder
y que se traspasar por el enlace de comunicaciones y la sensibilidad del sistema interno;
d) la provisin de acceso a un escritorio virtual que evite el procesamiento y el almacenamiento de

informacin en equipos de propiedad privada;
e) la amenaza del acceso no autorizado a la informacin o a los recursos de parte de otras personas que
utilizan el recinto, es decir, la familia y los amigos;
f) el uso de redes domsticas y los requisitos o restricciones en la configuracin de los servicios de redes
inalmbricas;
g) las polticas y procedimientos para evitar disputas en cuanto a los derechos de propiedad intelectual
desarrollados en equipos de propiedad privada;
h) acceso a equipos de propiedad privada (para verificar la seguridad de la mquina durante una
investigacin), lo que se puede evitar por legislacin;
i) acuerdos de licenciamiento de software que pueden hacer que las organizaciones se hagan
responsables del software de cliente en estaciones de trabajo de propiedad privada de empleados o de
usuarios externos;
j) requisitos de proteccin de malware firewall (cortafuegos).
Las pautas y disposiciones que se deberan consideran deberan incluir:
a) la provisin de equipos idneos y muebles de almacenamiento para las actividades de teletrabajo, donde
no se permite el uso de equipos de propiedad privada que no estn bajo el control de la organizacin;
b) una definicin del trabajo permitido, las horas de trabajo, la clasificacin de informacin que se puede
tener y los sistemas y servicios internos que se autoriza al teletrabajador a acceder;

c) la provisin de equipos de comunicacin idneos, incluidos los mtodos para proteger el acceso remoto;
d) seguridad fsica;
e) normas y orientacin sobre el acceso a familiares y visitas a los equipos y a la informacin;
f) la provisin de soporte y mantenimiento de hardware y software;
g) la provisin de seguros;
h) los procedimientos para el respaldo y la continuidad en el negocio;
i) auditora y monitoreo de seguridad;
j) revocacin de autoridad y derechos de acceso y la devolucin de los equipos cuando concluyen las
actividades de teletrabajo.
Otra informacin
El teletrabajo se refiere a todas las formas de trabajo fuera de la oficina, incluidos los ambientes de trabajo no
tradicionales, como los que se conocen como entornos de teleconmutacin, lugar de trabajo flexible,
trabajo remoto y trabajo virtual.
7 Seguridad de recursos humanos
7.1 Antes del empleo
Objetivo: garantizar que los empleados y contratistas comprendan sus responsabilidades y que sean
adecuados para los roles en los que se les ha considerado.
7.1.1 Seleccin
Control
La verificacin de antecedentes de todos los candidatos para el empleo se debera realizar de acuerdo a las
leyes, normativas y tica pertinentes y debera ser proporcional a los requisitos del negocio, la clasificacin
de la informacin a la que se acceder y los riesgos percibidos.
La verificacin debera considerar toda la privacidad y la proteccin pertinente de la informacin identificable

personalmente y la legislacin basada en el empleo y, donde se permita, debera incluir lo siguiente:
a) disponibilidad de referencias de carcter satisfactorias, es decir una comercial y una personal;
b) una verificacin (de integridad y precisin) del currculum vitae del postulante;
c) confirmacin de las calificaciones acadmicas y profesionales que se indican;
d) verificacin de identidad independiente (pasaporte o un documento similar);
e) verificacin en mayor detalle, como una revisin al historial de crdito o los antecedentes penales.

Cuando se contrata a una persona para un rol de seguridad de la informacin especfico, las organizaciones
se deberan asegurar de que el candidato:
a) cuente con las competencias necesarias para desempear el rol de seguridad;
b) pueda ser confiable para asumir el rol, en especial si ste es fundamental para la organizacin.
Donde un trabajo, ya sea de empleo inicial o por ascenso, requiera que la persona tenga acceso a las
instalaciones de procesamiento de informacin y, en particular, si se maneja informacin confidencial, es
decir, informacin financiera o altamente confidencial, la organizacin tambin debera considerar ms
verificaciones y en mayor detalle.
Los procedimientos deberan definir los criterios y limitaciones para las revisiones de verificacin, es decir,
quin es idneo para seleccionar a las personas y cmo, cundo y por qu se realizan las revisiones de
verificacin.
Tambin se debera garantizar un proceso de seleccin para los contratistas. En estos casos, donde el
acuerdo entre la organizacin y el contratista debera especificar las responsabilidades para realizar la
seleccin y los procedimientos de notificacin que se deberan seguir si la seleccin no ha finalizado o si los
resultados dan motivo para dudas o inquietudes.
La informacin de todos los candidatos que se estn considerando para puestos dentro de la organizacin se
deberan recopilar y manejar de acuerdo a cualquier legislacin correspondiente existente en la jurisdiccin
pertinente. En funcin de la legislacin pertinente, se debera informar a los candidatos de antemano sobre
las actividades de seleccin.
7.1.2 Trminos y condiciones de empleo
Control
Los acuerdos contractuales con los empleados y contratistas deberan indicar sus responsabilidades y las de
la organizacin para la seguridad de la informacin.
Las obligaciones contractuales para los empleados o los contratistas deberan reflejar las polticas de la
organizacin para la seguridad de la informacin adems de aclarar e indicar:
a) que todos los empleados y contratistas a los que se les otorga acceso a informacin confidencial
deberan firmar un acuerdo de confidencialidad y no divulgacin antes de darles acceso a las
instalaciones de procesamiento de informacin (ver 13.2.4);
b) las responsabilidades legales y derechos del empleado o del contratista, es decir, en cuanto a las leyes
de derecho de autor o de la legislacin de proteccin de datos (ver 18.1.2 y 18.1.4);
c) responsabilidades para la clasificacin de la informacin y la administracin de activos organizacionales

asociados a la informacin, las instalaciones de procesamiento de informacin y los servicios de
informacin que maneja el empleado o contratista (ver clusula 8);
d) responsabilidades del empleado o contratista para manejar la informacin recibida de otras empresas o
partes externas;
e) medidas que se deberan tomar si el empleado o contratista no cumple con los requisitos de seguridad
de la organizacin (ver 7.2.3).
Los roles y responsabilidades de seguridad de la informacin se deberan comunicar a los postulantes al

trabajo durante el proceso previo al empleo.

La organizacin se debera asegurar de que todos los empleados y contratistas estn de acuerdo con los
trminos y condiciones en cuanto a la seguridad de la informacin conforme a la naturaleza y al alcance del
acceso que tendrn a los activos de la organizacin asociados a los sistemas y servicios de informacin.
Donde corresponda, las responsabilidades incluidas en los trminos y condiciones de empleo deberan
continuar por un perodo definido despus del trmino del empleo (ver 7.3).
Otra informacin
Se puede utilizar un cdigo de conducta para indicar las responsabilidades en cuanto a la seguridad de la
informacin del empleado o contratista respecto de la confidencialidad, la proteccin de datos, la tica, el uso
adecuado del equipo y las instalaciones de la organizacin, as como las prcticas honorables que espera la
organizacin. Se puede solicitar a una parte externa asociada con un contratista a iniciar disposiciones
contractuales a nombre de la persona contratada.
7.2 Durante el empleo
Objetivo: asegurarse de que los empleados y contratistas estn en conocimiento de y que cumplen con sus
responsabilidades de seguridad de la informacin.
7.2.1 Responsabilidades de la direccin
Control
La direccin debera exigir a todos los empleados y contratistas que apliquen la seguridad de la informacin
de acuerdo con las polticas y procedimientos establecidos de la organizacin.
Las responsabilidades de la direccin deberan incluir asegurarse de que los empleados y los contratistas:
a) cuenten con instrucciones preliminares sobre sus roles y responsabilidades de seguridad de la

informacin antes de que se les otorgue acceso a la informacin confidencial o a los sistemas de
informacin;
b) se les entreguen pautas para indicar las expectativas de seguridad de la informacin en su rol dentro de
la organizacin;
c) se les motive para cumplir con las polticas de seguridad de la informacin de la organizacin;
d) logren un nivel de concientizacin sobre la seguridad de la informacin conforme a sus roles y

responsabilidades dentro de la organizacin (ver 7.2.2);
e) cumplan con los trminos y condiciones de empleo, que incluye la poltica de seguridad de informacin
de la organizacin y los mtodos de trabajo correspondientes;
f) continen teniendo las habilidades y calificaciones adecuadas y que se capaciten de manera regular;
g) se les proporcione un canal de denuncias annimas para denunciar transgresiones a las polticas y
procedimientos de seguridad de la informacin (poner de manifiesto).
La direccin debera demostrar su apoyo a las polticas, los procedimientos y los controles de seguridad de la
informacin y actuar como un modelo a seguir.

Otra informacin
Si a los empleados o contratistas no se les dan a conocer sus responsabilidades de seguridad de la

informacin, pueden provocar daos considerables a la organizacin. El personal motivado tiene mayores
probabilidades de ser ms confiable y provocar menos incidentes de seguridad de la informacin.
Una administracin deficiente puede hacer que el personal se sienta subvalorado, lo que genera un impacto
negativo en la seguridad de la informacin de la organizacin. Por ejemplo, una administracin deficiente
puede llevar al olvido de la seguridad de la informacin o al posible uso indebido de los activos de la
organizacin.
7.2.2 Concientizacin, educacin y capacitacin sobre la seguridad de la informacin
Control
Todos los empleados de la organizacin y, donde sea pertinente, los contratistas deberan recibir educacin y
capacitacin de concientizacin adecuada y actualizaciones regulares sobre las polticas y procedimientos
organizacionales, segn sea pertinente para su funcin laboral.
Un programa de concientizacin sobre seguridad de la informacin debera apuntar a hacer que los
empleados y, donde resulte pertinente, los contratistas conozcan sus responsabilidades en cuanto a la
seguridad de la informacin y los medios a travs de los que se descargan esas responsabilidades.
Un programa de concientizacin de seguridad de la informacin se debera establecer de acuerdo con las

polticas y procedimientos pertinentes de seguridad de la informacin de la organizacin, considerando la
informacin de la organizacin que se va a proteger y los controles que se han implementado para proteger
la informacin. El programa de concientizacin debera incluir varias actividades de concientizacin como
campaas (por ejemplo, un da de la seguridad de la informacin) y la entrega de panfletos o boletines
informativos.
El programa de concientizacin se debera planificar considerando los roles de los empleados en la

organizacin y, donde corresponda, la expectativa que tiene la organizacin sobre la concientizacin de los
contratistas. Las actividades del programa de concientizacin se deberan programar con el tiempo, de
preferencia de manera regular, para que las actividades se repitan y abarquen a los nuevos empleados y
contratistas. El programa de concientizacin tambin se debera actualizar de manera regular para que est
de acuerdo con las polticas y procedimientos de la organizacin y se debera basar en las lecciones
aprendidas de los incidentes de seguridad de la informacin.
Se debera realizar una capacitacin de concientizacin segn lo requiera el programa de concientizacin de

seguridad de la informacin de la organizacin. La capacitacin de concientizacin se puede realizar a travs
de distintos medios incluida la capacitacin en el aula, a distancia, en lnea, autnoma y otros.
La educacin y la capacitacin de seguridad de la informacin tambin debera abarcar aspectos generales

como:
a) indicar el compromiso de la direccin con la seguridad de la informacin en toda la organizacin;
b) la necesidad de conocer y cumplir con las normas y obligaciones de seguridad de la informacin

pertinentes, segn se define en las polticas, normas, leyes, normativas, contratos y acuerdos;
c) responsabilidad personal por las acciones e inoperancias propias y las responsabilidades generales
hacia el aseguramiento y proteccin de la informacin que pertenece a la organizacin y a las partes
externas.

d) procedimientos bsicos de seguridad de la informacin (como la denuncia de incidentes de seguridad de

la informacin) y controles de la lnea de base (como seguridad de contraseas, controles de malware y
despeje de escritorios);
e) Puntos de contacto y recursos para la informacin adicional y asesora sobre los asuntos de seguridad de
la informacin, incluida una mayor informacin sobre la educacin y los materiales de capacitacin para
la seguridad de la informacin.
La educacin y la capacitacin sobre la seguridad de la informacin se debera realizar de manera peridica.

La educacin y la capacitacin inicial se aplica a quienes se les traslada a nuevos cargos o roles con
requisitos de seguridad de la informacin sustancialmente diferentes, no solo para quienes comienzan sus
labores y, se debera realizar antes de que el rol se active.
La organizacin debera desarrollar el programa de educacin y capacitacin para poder realizar la educacin
y la capacitacin de manera eficaz. El programa se debera establecer de acuerdo con las polticas y
procedimientos pertinentes de seguridad de la informacin de la organizacin, considerando la informacin
de la organizacin que se va a proteger y los controles que se han implementado para proteger la
informacin. El programa debera considerar las distintas formas de educacin y capacitacin, es decir,
charlas o estudio autnomo.
Otra informacin
Al comprometerse en un programa de concientizacin, es importante no solo centrarse en el qu y en el

cmo, sino que tambin en el por qu. Es importante que los empleados entiendan el objetivo de la
seguridad de la informacin y el posible impacto, ya sea positivo y negativo, en la organizacin y en su propio
comportamiento.
La concientizacin, la educacin y la capacitacin pueden ser parte de o realizarse en colaboracin con otras
actividades de capacitacin, por ejemplo, un programa general de TI o de seguridad general. Las actividades
de concientizacin, la educacin y la capacitacin deberan ser adecuadas y pertinentes para los roles, las
responsabilidades y las habilidades de las personas.
Se puede realizar una evaluacin del conocimiento de los empleados al final de un curso de concientizacin,
educacin y capacitacin para probar la transferencia de conocimiento.
7.2.3 Proceso disciplinario
Control
Debera haber un proceso disciplinario formal y comunicado en vigencia para tomar medidas contra los
empleados que se han involucrado en una transgresin a la seguridad de la informacin.
El proceso disciplinario no se debera iniciar antes de verificar que ha ocurrido una transgresin a la
seguridad de la informacin (ver 16.1.7).
El proceso disciplinario formal debera garantizar un trato justo y correcto para los empleados sospechosos de
cometer violaciones a la seguridad de la informacin. El proceso disciplinario formal debera proporcionar una
respuesta gradual que considere factores como la naturaleza y la gravedad de la transgresin y su impacto en el
negocio, ya sea o no el primer agravio o una repeticin, ya sea o no que el transgresor haya sido capacitado
adecuadamente, la legislacin pertinente, los contratos comerciales u otros factores segn sea necesario.
El proceso disciplinario tambin se debera utilizar como elemento disuasivo para evitar que los empleados
transgredan las polticas y procedimientos de seguridad de la informacin de la organizacin y otras violaciones de
la seguridad de la informacin. Las transgresiones deliberadas pueden requerir acciones inmediatas.

Otra informacin
El proceso disciplinario tambin puede convertirse en una motivacin o en un incentivo si se definen

sanciones positivas para el comportamiento sobresaliente en cuanto a la seguridad de la informacin.
7.3 Despido y cambio de empleo
Objetivo: proteger los intereses de la organizacin como parte del proceso de cambiar de o finalizar el
empleo.
7.3.1 Despido o cambio de responsabilidades en el empleo
Control
Las responsabilidades y deberes de la seguridad de la informacin que siguen vigentes despus de un

despido o cambio de empleo se deberan definir, comunicar al empleado o contratista y hacer cumplir.
La comunicacin del cese de responsabilidades debera incluir requisitos de seguridad de la informacin y

responsabilidades legales constantes y, donde corresponda, las responsabilidades incluidas dentro de
cualquier acuerdo de confidencialidad (ver 13.2.4) y los trminos y condiciones de empleo (ver 7.1.2) que
continan por un perodo definido despus del fin del empleo del empleado o del contratista.
Las responsabilidades y deberes que an siguen siendo vlidos despus del fin del empleo deberan incluirse
en los trminos y condiciones de empleo del empleado o contratista (ver 7.1.2).
Los cambios en las responsabilidades o en el empleo se deberan manejar como en la finalizacin de la

responsabilidad actual o el empleo en combinacin con la iniciacin de la nueva responsabilidad o empleo.
Otra informacin
La funcin de recursos humanos es generalmente ser responsable del proceso de despido general y trabaja
con el gerente que supervisa a la persona que abandona la organizacin para administrar los aspectos de
seguridad de la informacin de los procedimientos pertinentes. En el caso de un contratista quien presta
servicios a travs de terceros, este proceso de despido lo realizar la parte externa de acuerdo con el
contrato entre la organizacin y la parte externa.
Puede ser necesario informar a los empleados, a los clientes o a los contratistas sobre los cambios de
personal y a las disposiciones operativas.
8 Administracin de activos
8.1 Responsabilidad por los activos
Objetivo: identificar los activos organizacionales y definir las responsabilidades de proteccin adecuadas.
8.1.1 Inventario de activos
Control
Se deberan identificar los activos asociados a la informacin y las instalaciones de procesamiento de

informacin y se debera elaborar y mantener un inventario de estos activos.

Una organizacin debera identificar los activos pertinentes en el ciclo de vida de la informacin y documentar
su importancia. El ciclo de vida de la informacin debera incluir su creacin, procesamiento,
almacenamiento, transmisin, eliminacin y destruccin.
Se debera mantener la documentacin en inventarios dedicados o existentes segn corresponda.
El inventario de activos debera ser preciso, actualizado, coherente y acorde a otros inventarios. Para cada
uno de los activos identificados, se debera asignar su propiedad (ver 8.1.2) y clasificacin. (Ver 8.2).
Otra informacin
Los inventarios de activos ayudan a garantizar que se implementa una proteccin eficaz y tambin pueden
ser necesarios para otros propsitos como la salud y seguridad y por motivos de seguros o financieros
(administracin de activos).
La norma ISO/IEC 27005 brinda ejemplos de los activos que la organizacin puede considerar necesarios al
identificar activos. El proceso de compilacin de un inventario de activos es un prerrequisito importante de la
administracin de activos (ver ISO/IEC 27000 e ISO/IEC 27005).
8.1.2 Propiedad de los activos
Control
Los activos mantenidos en el inventario deberan ser propietarios.
Las personas, as como tambin otras entidades que tienen responsabilidad de la direccin aprobada para el
ciclo de vida de los activos califican para ser asignados como propietarios de activos.
Generalmente se implementa un proceso para asegurar la asignacin oportuna de la propiedad de los

activos. Se debera asignar la propiedad de los activos cuando stos se crean o cuando se transfieren a la
organizacin. El propietario del activo debera responsable de la administracin correcta de un activo durante
todo su ciclo de vida.
El propietario del activo debera:
a) garantizar que se haga un inventario de todos los activos;
b) asegurarse de que los activos se clasifiquen y protejan adecuadamente;
c) definir y revisar peridicamente las restricciones de acceso y clasificaciones para los activos importantes,
considerando las polticas de control de acceso pertinentes;
d) asegurarse de un manejo adecuado cuando se elimine o destruya un activo.
Otra informacin
El propietario identificado puede ser una persona o una entidad que cuente con responsabilidad de la
direccin aprobada para controlar todo el ciclo de vida de un activo. El propietario identificado no
necesariamente tiene derechos de propiedad del activo.
Se pueden delegar las tareas rutinarias, es decir a un custodio que resguarde los activos diariamente, pero la
responsabilidad sigue siendo del propietario.
En sistemas de informacin complejos, puede resultar til asignar grupos de activos que acten en conjunto
para brindar un servicio en particular. En este caso el propietario de este servicio es responsable de la
entrega del servicio, incluida la operacin de sus activos.

8.1.3 Uso aceptable de activos
Control
Se deberan identificar, documentar e implementar las reglas para el uso aceptable de la informacin de los
activos asociados a la informacin y a las instalaciones de procesamiento de informacin.
Los empleados y los usuarios externos que utilizan o tienen acceso a los activos de la organizacin deberan
estar al tanto de los requisitos de seguridad de la informacin de los activos de la organizacin asociados a la
informacin y a las instalaciones y recursos de procesamiento de informacin. Deberan ser responsables del
uso de cualquier recurso de procesamiento de informacin y cualquier tipo de uso como tal se debera
realizar bajo su responsabilidad.
8.1.4 Devolucin de activos
Control
Todos los empleados y usuarios externos deberan devolver todos los activos organizacionales en su poder
al finalizar su empleo, contrato o acuerdo.
El proceso de finalizacin de empleo se debera formalizar para incluir la devolucin de todos los activos
fsicos y electrnicos previamente entregados de propiedad de o encomendados a la organizacin.
En los casos donde un empleado o un externo compre el equipo de la organizacin o utilice sus propios
equipos personales, se deberan seguir los procedimientos para garantizar que la informacin pertinente se
transfiera a la organizacin y que se elimine de manera segura del equipo (ver 11.2.7).
En los casos donde el empleado o el usuario externo cuenta con conocimiento importante para las
operaciones continuas, dicha informacin se debera documentar y transferir a la organizacin.
Durante el perodo de aviso de despido, la organizacin debera controlar las copias no autorizadas de la
informacin pertinente (es decir, propiedad intelectual) de los empleados y contratistas despedidos.
8.2 Clasificacin de la informacin
Objetivo: asegurar que la informacin reciba el nivel de proteccin adecuado de acuerdo con su importancia
para la organizacin.
8.2.1 Clasificacin de informacin
Control
La informacin se debera clasificar en trminos de requisitos legales, valor, criticidad y sensibilidad para la
divulgacin o modificacin no autorizada.
Las clasificaciones y los controles de proteccin asociados de la informacin deberan considerar las
necesidades que tiene el negocio de compartir o restringir informacin, as como tambin los requisitos
legales. Los activos que no sean informacin tambin se pueden clasificar de acuerdo con la clasificacin de
informacin que se almacena en, procesa por o de otro modo, maneja o protege el activo.
Los propietarios de los activos de informacin deberan ser responsables de su clasificacin.

El esquema de clasificacin debera incluir las convenciones para la clasificacin y los criterios para la
revisin de la clasificacin con el tiempo. El nivel de proteccin del esquema se debera evaluar mediante el
anlisis de la confidencialidad, la integridad y la disponibilidad de cualquier otro requisito para la informacin
considerada. El esquema debera estar alineado con la poltica de control de acceso (ver 9.1.1).
A cada nivel se le debera asignar un nombre que tenga sentido en el contexto del esquema de clasificacin
de la aplicacin. El esquema se debera considerar en toda la organizacin para que todos clasifiquen la
informacin y los activos relacionados de la misma forma, cuenten con un entendimiento comn de los
requisitos de proteccin y apliquen la proteccin adecuada.
La clasificacin se debera incluir en los procesos de la organizacin y debera ser coherente y consistente en
toda la organizacin. Los resultados de la clasificacin deberan indicar el valor de los activos en funcin de
su sensibilidad y criticidad para la organizacin, es decir, en trminos de confidencialidad, integridad y
disponibilidad. Los resultados de la clasificacin se deberan actualizar de acuerdo con los cambios en su
valor, sensibilidad y criticidad a travs de su ciclo de vida.
Otra informacin
La clasificacin le entrega a las personas que se encargan de la informacin una indicacin concisa sobre
cmo manejarla y protegerla. La creacin de grupos de informacin con necesidades de proteccin similares
y la especificacin de los procedimientos de seguridad de la informacin que se aplican a toda la informacin
en cada grupo facilita este proceso. Este enfoque reduce la necesidad de una evaluacin de riesgo caso a
caso y el diseo personalizado de controles.
La informacin puede dejar de ser sensible o crtica despus de cierto perodo de tiempo, por ejemplo,
cuando la informacin se ha hecho pblica. Estos aspectos se deberan considerar, pues la sobre
clasificacin puede llevar a la implementacin de controles innecesarios, lo que generar gastos adicionales
o, por el contrario, la falta de clasificacin puede poner en peligro el logro de los objetivos comerciales.
Un ejemplo de un esquema de clasificacin de confidencialidad de la informacin se puede basar en cuatro

niveles de la siguiente manera:
a) la divulgacin no hace dao;
b) la divulgacin provoca una vergenza menor o una inconveniencia operacional menor;
c) la divulgacin tiene un impacto significativo a corto plazo en las operaciones o en los objetivos tcticos;
d) la divulgacin tiene un impacto grave en los objetivos estratgicos a largo plazo o pone en riesgo la
sobrevivencia de la organizacin.
8.2.2 Etiquetado de informacin
Control
Se debera desarrollar e implementar un conjunto de procedimientos para el etiquetado de informacin de

acuerdo con el esquema de clasificacin de informacin adoptado por la organizacin.
Los procedimientos para el etiquetado de la informacin deberan cubrir la informacin y sus activos relacionados
en formatos fsicos o electrnicos. El etiquetado debera reflejar el esquema de clasificacin establecido en 8.2.1.
Las etiquetas se deberan poder reconocer fcilmente. Los procedimientos deberan brindar orientacin sobre
dnde y cmo se adhieren las etiquetas considerando cmo se accede a la informacin o cmo se manejan los
activos en funcin de los tipos de medios. Los procedimientos pueden definir los casos donde se omite el
etiquetado, es decir, etiquetando la informacin no confidencial para reducir las cargas de trabajo. Los empleados
y contratistas deberan estar al tanto de los procedimientos de etiquetado.

Las salidas de los sistemas que contienen informacin clasificada como sensible o crtica deberan tener una
etiqueta de clasificacin adecuada.
Otra informacin
El etiquetado de informacin clasificada es un requisito clave para los acuerdos para compartir informacin.
Las etiquetas fsicas y los metadatos son una forma comn de etiquetado.
El etiquetado de informacin y sus activos relacionados pueden tener efectos negativos a veces. Los activos
clasificados son ms fciles de identificar y, en consecuencia, de sufrir robos de personas internas o de
atacantes externos.
8.2.3 Manejo de activos
Control
Se deberan desarrollar e implementar procesos para el manejo de activos de acuerdo con el esquema de
clasificacin de informacin adoptado por la organizacin.
Se deberan crear procesos para el manejo, procesamiento, almacenamiento y comunicacin de la

informacin conforme a su clasificacin (ver 8.2.1).
Se deberan considerar los siguientes elementos:
a) restricciones de acceso que apoyen los requisitos de proteccin para cada nivel de clasificacin;
b) mantenimiento de un registro formal de los receptores de activos autorizados;
c) proteccin de copias temporales o permanentes de informacin a un nivel coherente con la proteccin de

la informacin original;
d) almacenamiento de los activos de TI de acuerdo con las especificaciones del fabricante;
e) marcado claro de todas las copias de medios para la atencin del receptor autorizado.
El esquema de clasificacin que se utiliza dentro de la organizacin puede no ser equivalente a los esquemas
que utilizan otras organizaciones, incluso si los nombres de los niveles son similares; adems, la informacin
que se mueve entre las organizaciones puede variar en su clasificacin en funcin de su contexto en cada
organizacin, incluso si sus esquemas de clasificacin son idnticos.
Los acuerdos con otras organizaciones que incluyen compartir informacin deberan incluir procedimientos
para identificar la clasificacin de esa informacin y para interpretar las etiquetas de clasificacin de otras
organizaciones.
8.3 Manejo de medios
Objetivo: evitar la divulgacin, la modificacin, el retiro o la destruccin de informacin almacenada en

medios.
8.3.1 Administracin de medios extrables
Control
Se deberan implementar procedimientos para la administracin de medios extrables de acuerdo con el

esquema de clasificacin adoptado por la organizacin.

Se deberan considerar las siguientes pautas para la administracin de medios extrables:
a) si ya no es necesario, el contenido de cualquier medio reutilizable que ser retirado de la organizacin se

debera hacer irrecuperable.
b) donde sea necesario y prctico, se debera requerir una autorizacin para los medios retirados de la
organizacin y se debera mantener un registro de tales retiros para poder mantener un seguimiento de
auditora.
c) todos los medios se deberan almacenar en un entorno seguro y protegido, de acuerdo con las
especificaciones del fabricante.
d) si la confidencialidad o la integridad de los datos son consideraciones importantes, se deberan utilizar

tcnicas criptogrficas para proteger los datos de los medios extrables;
e) para mitigar el riesgo de que los medios se degraden mientras an se necesitan los datos almacenados,
los datos se deberan transferir a medios nuevos antes de que se vuelvan ilegibles;
f) se deberan almacenar varias copias de datos valiosos en medios separados para reducir an ms el
riesgo accidental de daos o prdidas de datos
g) se debera considerar un registro de medios extrables para limitar la oportunidad de prdidas de datos.
h) las unidades de medios extrables solo se deberan habilitar si existe una razn comercial para ello;
i) donde exista la necesidad de utilizar medios extrables, se debera monitorear la transferencia de

informacin a dichos medios.
Se deberan documentar los procedimientos y los niveles de autorizacin.
8.3.2 Eliminacin de medios
Control
Los medios se deberan eliminar de manera segura cuando ya no se necesitan, a travs de procedimientos
formales.
Se deberan establecer procedimientos formales para la eliminacin segura de los medios, a fin de minimizar
el riesgo de filtracin de informacin confidencial a personas no autorizadas. Los procedimientos para la
eliminacin segura de medios que contienen informacin confidencial deberan ser proporcionales a la
sensibilidad de esa informacin. Se deberan considerar los siguientes elementos:
a) los medios que contienen informacin confidencial se deberan almacenar y eliminar de manera segura,
es decir, mediante la incineracin, o la destruccin o bien a travs del borrado de datos para el uso por
parte de otra aplicacin dentro de la organizacin;
b) deberan existir procedimientos en vigencia para identificar los artculos que pueden requerir de una
eliminacin segura especial;
c) es posible que sea ms fcil realizar las disposiciones necesarias para que se recopilen todos los
artculos de medios y que se eliminen de manera segura en vez de intentar separar los artculos
sensibles;

d) muchas organizaciones ofrecen servicios de recogida y eliminacin de medios; se debera tener cuidado
al seleccionar a una parte externa adecuada que cuente con la experiencia y los controles necesarios;
e) la eliminacin de los artculos sensibles se debera registrar para mantener un seguimiento de auditora.
Al acumular medios para su eliminacin, se debera tener en consideracin el efecto de agregacin, que
puede hacer que una gran cantidad de informacin no sensible se vuelva sensible.
Otra informacin
Es posible que los dispositivos daados que contienen datos sensibles requieran una evaluacin de riesgos
para determinar si stos se deberan destruir fsicamente en vez de repararlos o eliminarlos (ver 11.2.7).
8.3.3 Transferencia de medios fsicos
Control
Los medios que contienen informacin deberan estar protegidos contra el acceso no autorizado, el uso
indebido o la corrupcin durante el transporte.
Se deberan considerar las siguientes pautas para proteger a los medios que contienen informacin que se
transporta:
a) se deberan utilizar servicios de transporte o courier confiables;
b) se debera establecer una lista de servicios de courier autorizados con la direccin;
c) se deberan desarrollar procedimientos para verificar la identificacin de servicios de courier;
d) el empaque debera ser suficiente para proteger los contenidos de daos fsicos que probablemente
ocurran durante el trnsito de acuerdo con las especificaciones del fabricante, por ejemplo, proteccin
contra factores ambientales que puede reducir la efectividad de la restauracin de los medios, como la
exposicin al calor, a la humedad y a los campos electromagnticos;
e) se deberan mantener registros, identificando el contenido de los medios, la proteccin aplicada, as

como tambin un registro de las veces en que se transfiri a los custodios en trnsito y un recibo en el
lugar del destino.
Otra informacin
La informacin puede ser vulnerable al acceso no autorizado, al uso indebido o a la corrupcin durante el
transporte fsico al enviar los medios a travs del servicio postal o courier. En este control, los medios
incluyen a los documentos en papel.
Cuando la informacin confidencial en los medios no est cifrada, se debera considerar una proteccin
adicional de los medios.
9 Control de acceso
9.1 Requisitos comerciales del control de acceso
Objetivo: limitar el acceso a la informacin y a las instalaciones de procesamiento de la informacin.

9.1.1 Poltica de control de acceso
Control
Se debera establecer, documentar y revisar una poltica de control de acceso en base a los requisitos del
negocio y de la seguridad de la informacin.
Los propietarios de los activos deberan determinar las reglas de control de la informacin, los derechos y
restricciones de acceso para los roles especficos de los usuarios hacia sus activos, con una cantidad de
detalle y rigor en los controles que refleje los riesgos de seguridad de la informacin asociados.
Los controles de acceso son tanto lgicos como fsicos (ver clusula 11) y stos se deberan considerar en
conjunto. Los usuarios y los proveedores de servicios deberan contar con una declaracin clara sobre los
requisitos del negocio que se deberan cumplir con los controles de acceso.
La poltica debera considerar lo siguiente:
a) los requisitos de seguridad de las aplicaciones comerciales;
b) las polticas para la diseminacin y autorizacin de la informacin, es decir el principio que se debera
conocer y los niveles de seguridad de la informacin y la clasificacin de sta (ver 8.2);
c) coherencia entre los derechos de acceso y las polticas de clasificacin de la informacin de los sistemas
y redes;
d) legislacin pertinente y cualquier tipo de obligacin contractual en cuanto a la limitacin de acceso a los
datos o servicios (ver 18.1);
e) administracin de los derechos de acceso en un entorno de red distribuido que reconozca todos los tipos
de conexiones disponibles;
f) segregacin de los roles de control de acceso, es decir solicitud de acceso, autorizacin de acceso y
administracin de acceso;
g) requisitos de autorizacin formal para las solicitudes de acceso (ver 9.2.1 y 9.2.2);
h) requisitos de revisin peridicos para los derechos de acceso (ver 9.2.5);
i) eliminacin de derechos de acceso (ver 9.2.6);
j) archivo de los registros de todos los eventos de importancia que involucran el uso y la administracin de
identidades de usuario e informacin de autenticacin secreta;
k) funciones con acceso privilegiado (ver 9.2.3).
Otra informacin
Se debera tener cuidado al especificar las reglas de control de acceso para considerar lo siguiente:
a) establecer las reglas en base a la premisa Generalmente todo est prohibido a menos que se permita
expresamente en vez de la regla ms dbil Generalmente todo se permite a menos que se prohba
expresamente;
b) cambios en las etiquetas de informacin (ver 8.2.2) que se inician automticamente en las instalaciones
de procesamiento de la informacin y aquellas iniciadas a discrecin del usuario;

c) los cambios en los permisos del usuario que inicia automticamente el sistema de informacin y los
iniciados por un administrador;
d) normas que requieren de aprobacin especfica antes de su promulgacin y las que no.
Las normas de control de acceso se deberan respaldar con procedimientos formales (ver 9.2, 9.3, 9.4) y
responsabilidades definidas (ver 6.1.1, 9.3).
El control de acceso basado en roles es un enfoque que se utiliza correctamente en muchas organizaciones
para vincular los derechos de acceso con las funciones del negocio.
Dos de los principios frecuentes que dirigen a la poltica de control de acceso son:
a) Se debera conocer: solo se otorga acceso a la informacin que necesita para realizar sus tareas (las
distintas tareas/roles se traducen en distintas cosas que se deberan conocer y, por lo tanto, en distintos
perfiles de acceso);
b) Se debera utilizar: solo se otorga acceso a las instalaciones de procesamiento de informacin (equipos
de TI, aplicaciones, procedimientos, salas) necesarias para realizar su tarea/trabajo/rol.
9.1.2 Acceso a redes y servicios de red
Control
Los usuarios solo deberan tener acceso a la red y a los servicios de red en los que cuentan con autorizacin
especfica.
Se debera formular una poltica en cuanto al uso de redes y servicios de red. Esta poltica debera cubrir:
a) las redes y los servicios de red a los que se tiene derecho de acceso;
b) procedimientos de autorizacin para determinar a quin se le permite acceder a qu redes y servicios

con redes;
c) controles y procedimientos de administracin para proteger el acceso a las conexiones de red y a los
servicios de red;
d) los medios que se utilizan para acceder a las redes y a los servicios con redes (es decir, el uso de VPN o
red inalmbrica);
e) requisitos de autenticacin del usuario para acceder a los distintos servicios de red;
f) monitoreo del uso de servicios de red.
La poltica sobre el uso de servicios de red debera ser coherente con la poltica de control de acceso de la
organizacin (ver 9.1.1).
Otra informacin
Las conexiones no autorizadas y no seguras a los servicios de red pueden afectar a toda la organizacin.
Este control es de particular importancia para las conexiones de red a aplicaciones comerciales sensibles o
crticas o para los usuarios en ubicaciones de alto riesgo, es decir, las reas pblicas o externas que se
encuentran fuera de la administracin y control de seguridad de la informacin de la organizacin.

9.2 Administracin de acceso a los usuarios
Objetivo: garantizar el acceso autorizado a los usuarios y evitar el acceso no autorizado a los sistemas y
servicios.
9.2.1 Registro y cancelacin de registro de usuarios
Control
Se debera implementar un proceso formal de registro y cancelacin de registro de un usuario para permitir la
asignacin de derechos de acceso.
El proceso para administrar IDs de usuario debera incluir:
a) uso de IDs de usuario nicas para permitirle a los usuarios estar vinculados y hacerlos responsables de
sus acciones; el uso de IDs compartidas solo se debera permitir donde sea necesario por motivos
comerciales u operacionales y se debera aprobar y documentar;
b) deshabilitar o eliminar inmediatamente las IDs de usuario de los usuarios que han abandonado la
organizacin (ver 9.2.6);
c) identificar peridicamente y eliminar o deshabilitar IDs de usuario redundantes;
d) asegurarse de que las IDs de usuario redundantes no se emitan a otros usuarios.
Otra informacin
La entrega o revocacin del acceso a la informacin o a las instalaciones de procesamiento de informacin

generalmente es un proceso de dos pasos:
a) asignar y habilitar o revocar una ID de usuario;
b) proporcionar o revocar derechos de acceso a dicha ID de usuario (ver 9.2.2).
9.2.2 Entrega de acceso a los usuarios
Control
Se debera implementar un proceso formal de entrega de acceso a los usuarios para asignar o revocar
derechos de acceso para todos los tipos de usuario y todos los sistemas y servicios.
El proceso de asignacin o revocacin de los derechos de acceso que se asignan a las IDs de usuarios
debera incluir:
a) obtencin de autorizacin del propietario del sistema o servicio de informacin para el uso del sistema o
servicio de informacin (ver 8.1.2); tambin puede resultar adecuada la aprobacin por separado de los
derechos de acceso de parte de la direccin;
b) verificar que el nivel de acceso otorgado es adecuado para las polticas de acceso (ver 9.1) y que es
coherente con otros requisitos como la segregacin de deberes (ver 6.1.2);
c) asegurarse de que los derechos de acceso no estn activados (es decir, por los proveedores de servicio)
antes de que finalicen los procedimientos de autorizacin;

d) mantener un registro central de los derechos de acceso otorgados a las IDs de usuario para acceder a
los sistemas y servicios de informacin;
e) adaptar los derechos de acceso de los usuarios que han cambiado de roles o trabajo y eliminar o
bloquear inmediatamente los derechos de acceso a los usuarios que han abandonado la organizacin;
f) revisar peridicamente los derechos de acceso con los propietarios de los sistemas o servicios de
informacin (ver 9.2.5).
Otra informacin
Se debera considerar establecer roles de acceso de usuario en base a los requisitos del negocio que resuman
una cantidad de derechos de acceso en perfiles tpicos de acceso de usuarios. Las solicitudes y revisiones de
acceso (ver 9.2.4) se manejan ms fcilmente al nivel de dichos roles en vez de al nivel de los derechos
particulares.
Se debera considerar la inclusin de clusulas en los contratos del personal y en los contratos de servicio
que especifiquen sanciones en el caso de que el personal o los contratistas intenten el acceso no autorizado
(ver 7.1.2, 7.2.3, 13.2.4, 15.1.2).
9.2.3 Administracin de derechos de acceso privilegiado
Control
La asignacin y el uso de derechos de acceso privilegiado se debera restringir y controlar.
La asignacin de derechos de acceso privilegiados se debera controlar mediante un proceso de autorizacin

formal de acuerdo con la poltica de control de acceso pertinente (ver 9.1.1). Se deberan considerar los
siguientes pasos:
a) se deberan identificar los derechos de acceso privilegiado asociados con cada sistema o proceso, es
decir, sistema operativo, sistema de administracin de bases de datos junto con cada aplicacin y los
usuarios a los que se deberan asignar;
b) se deberan asignar derechos de acceso privilegiado a los usuarios en base a su necesidad de uso y en
base a eventos de acuerdo con la poltica de control de acceso (ver 9.1.1), es decir, en base al requisito
mnimo para sus roles funcionales;
c) se debera mantener un proceso de autorizacin y un registro de todos los privilegios asignados. No se

deberan otorgar derechos de acceso privilegiado hasta que el proceso de autorizacin se haya completado;
d) se deberan definir los requisitos para el vencimiento de los derechos de acceso privilegiado;
e) se deberan asignar derechos de acceso privilegiado a una ID de usuario que sean distintos a los que se
utilizan para las actividades comerciales regulares. Las actividades comerciales regulares no se
deberan realizar desde una ID privilegiada;
f) las competencias de los usuarios con derechos de acceso privilegiado se deberan revisar regularmente
para verificar si estn conforme a sus labores;
g) se deberan establecer y mantener procedimientos especficos para poder evitar el uso no autorizado de IDs
de usuario de administracin genrica de acuerdo a las capacidades de configuracin de los sistemas;
h) para las IDs de usuario de administracin genrica, la confidencialidad de la informacin de

autenticacin secreta se debera mantener cuando se comparte (es decir, cambiando las contraseas
frecuentemente y lo ms pronto posible cuando un usuario privilegiado abandona o cambia de trabajo,
comunicndolas entre los usuarios privilegiados con mecanismos adecuados).

Otra informacin
El uso inadecuado de los privilegios de administracin del sistema (cualquier funcin o instalacin de un
sistema de informacin que permite al usuario anular los controles del sistema o la aplicacin) es un factor
importante que contribuye a los incumplimientos de los sistemas.
9.2.4 Administracin de la informacin de autenticacin secreta de los usuarios
Control
La asignacin de la informacin de autenticacin secreta se debera controlar a travs de un proceso de

administracin formal.
El proceso debera incluir los siguientes requisitos:
a) se debera solicitar a los usuarios firmar una declaracin en que mantengan la informacin de
autenticacin secreta de manera personal y que mantengan la informacin de autenticacin secreta
grupal (es decir, compartida) solo dentro de los miembros del grupo; esta declaracin firmada se puede
incluir en los trminos y condiciones de empleo (ver 7.1.2);
b) cuando se requiere que los usuarios mantengan su propia informacin de autenticacin secreta se les
debera proporcionar inicialmente informacin de autenticacin secreta temporal segura, que deberan
cambiar obligatoriamente en el primer uso;
c) se deberan establecer procedimientos para verificar la identidad de un usuario antes de proporcionar

informacin de autenticacin secreta nueva, de reemplazo o temporal;
d) se debera proporcionar informacin de autenticacin secreta temporal a los usuarios de manera segura;
se debera evitar el uso de partes externas o mensajes de correo electrnico no protegidos (texto sin
cifrar);
e) la informacin de autenticacin secreta temporal debera ser nica para una persona y no se debera
poder adivinar;
f) los usuarios deberan confirmar la recepcin de la informacin de autenticacin secreta;
g) se debera alterar la informacin de autenticacin secreta predeterminada del proveedor luego de la

instalacin de los sistemas o software.
Otra informacin
Las contraseas son un tipo de informacin de autenticacin secreta de uso comn y son una forma comn
de verificar la identidad de un usuario. Otros tipos de informacin de autenticacin secreta son claves
criptogrficas y otros datos almacenados en tokens de hardware (es decir, tarjetas inteligentes) que producen
cdigos de autenticacin.
9.2.5 Revisin de los derechos de acceso de usuarios
Control
Los propietarios de activos deberan revisar los derechos de acceso de los usuarios a intervalos regulares.
La revisin de los derechos de acceso debera considerar lo siguiente:
a) los derechos de los accesos de usuario se deberan revisar a intervalos regulares y despus de cualquier
cambio, como un ascenso, descenso o cese de empleo (ver clusula 7);

b) los derechos de acceso de usuarios se deberan revisar y volver a asignar al pasar de un rol a otro dentro
de la misma organizacin;
c) se deberan revisar las autorizaciones para los derechos de acceso privilegiados en intervalos ms
frecuentes;
d) se deberan revisar las asignaciones de privilegios en intervalos regulares para garantizar que no se han
obtenido privilegios no autorizados;
e) se deberan registrar los cambios a las cuentas con privilegios para su revisin peridica.
Otra informacin
Este control compensa cualquier posible debilidad en la ejecucin de los controles 9.2.1, 9.2.2 y 9.2.6.
9.2.6 Eliminacin o ajuste de los derechos de acceso
Control
Los derechos de acceso para todos los empleados y usuarios externos a la informacin y a las instalaciones
de procesamiento de informacin se deberan eliminar al trmino de su empleo, contrato o acuerdo, o se
deberan ajustar en caso de realizarse cambios en el empleo.
Luego del cese del empleo, los derechos de acceso de una persona a la informacin y a los activos
asociados con las instalaciones de procesamiento de informacin y servicios se deberan eliminar o
suspender. Esto determinar si es necesario eliminar los derechos de acceso. Los cambios en el empleo se
deberan reflejar en la eliminacin de todos los derechos de acceso que no se aprobaron para el nuevo
empleo. Los derechos de acceso que se deberan eliminar o ajustar incluyen a los de acceso fsico y lgico.
La eliminacin o el ajuste se puede hacer mediante la eliminacin, la revocacin o el reemplazo de claves,
tarjetas de identificacin, instalaciones de procesamiento de informacin o suscripciones. Cualquier
documentacin que identifique los derechos de acceso de los empleados y contratistas deberan reflejar la
eliminacin o el ajuste de los derechos de acceso. Si un empleado o parte externa que abandona el negocio
tiene contraseas conocidas para IDs de usuario que permanecen activas, stas se deberan cambiar luego
del cese o cambio del empleo, contrato o acuerdo.
Los derechos de acceso para la informacin y los activos asociados a las instalaciones de procesamiento de
informacin se deberan reducir o eliminar antes de que el empleo finalice o cambie, en funcin de la
evaluacin de factores de riesgo como:
a) si el cese o cambio lo inici el empleado, el usuario externo o la administracin y el motivo para ello.
b) las responsabilidades actuales del empleado, del usuario externo o de cualquier otro usuario;
c) el valor de los activos actualmente disponibles.
Otra informacin
En ciertas circunstancias se pueden asignar derechos de acceso en base a su disponibilidad a ms personas

que el empleado o la parte externa que se retira, es decir, IDs de grupo. En tales circunstancias, se debera
eliminar a las personas que se retiran de cualquier lista de acceso a grupos y se deberan realizar todas las
disposiciones necesarias para indicarle al resto de los empleados y usuarios externos que no compartan ms
esta informacin con la persona que se retira.
En los casos en que la direccin inici el cese del empleo, los empleados o partes externas disgustados
pueden corromper deliberadamente la informacin o bien sabotear las instalaciones de procesamiento de
informacin. En los casos donde las personas renuncian o se desvinculan, se pueden ver tentados a recopilar
informacin para un uso futuro.

9.3 Responsabilidades de los usuarios
Objetivo: hacer que los usuarios sean responsables de proteger su informacin de autenticacin.
9.3.1 Uso de informacin de autenticacin secreta
Control
Se debera exigir al usuario seguir las prcticas de la organizacin en el uso de informacin de autenticacin
secreta.
Se les debera indicar lo siguiente a todos los usuarios:
a) mantener la informacin de autenticacin secreta como confidencial, asegurndose de que no se

divulgue a ninguna otra parte, incluidas las personas con autoridad;
b) evitar mantener un registro (es decir, en papel, archivo de software o en un dispositivo de mano) de la
informacin de autenticacin secreta, a menos que esto se pueda almacenar de manera segura y de que
el mtodo de almacenamiento haya sido aprobado (es decir, bveda de contraseas);
c) cambiar la informacin de autenticacin secreta cuando exista alguna indicacin de su posible

compromiso;
d) cuando se utilizan contraseas como informacin de autenticacin secreta, seleccione contraseas con
una longitud mnima suficiente que tengan las siguientes caractersticas:
1) fciles de recordar;
2) no se basen en nada que otra persona pueda adivinar u obtener fcilmente mediante la informacin
relacionada con la persona, es decir, nombres, nmeros de telfono y fechas de nacimiento, etc.;
3) no sean vulnerable a ataques de diccionario (es decir, que no conste de palabras incluidas en los
diccionarios);
4) estn libre de caracteres idnticos consecutivos, que sean todos numricos o alfabticos;
5) si son temporales, se deberan cambiar en el primer inicio de sesin;
e) no se debera compartir la informacin de autenticacin secreta de usuario de una persona;
f) aseguren la proteccin adecuada de contraseas cuando se utilicen las contraseas como informacin
de autenticacin secreta en procedimientos de inicio de sesin automatizados y que se almacenen;
g) no se utilice la misma informacin de autenticacin secreta para fines comerciales y no comerciales.
Otra informacin
La provisin de herramientas como el inicio de sesin nico (SSO - Single Sign On) u otras herramientas de
administracin de informacin de autenticacin reduce la informacin de autenticacin secreta que los
usuarios deberan proteger y, por lo tanto, puede aumentar la efectividad de este control. Sin embargo, estas
herramientas tambin pueden aumentar el impacto de la divulgacin de informacin de autenticacin secreta.

9.4 Control de acceso de sistemas y aplicaciones
Objetivo: evitar el acceso no autorizado a los sistemas y aplicaciones.
9.4.1 Restriccin de acceso a la informacin
Control
El acceso a la informacin y a las funciones del sistema de aplicacin se debera restringir de acuerdo a la
poltica de control de acceso.
Las restricciones al acceso se deberan basar en requisitos de aplicacin de negocios individuales y de

acuerdo con la poltica de control de acceso definida.
Se debera considerar lo siguiente para poder apoyar los requisitos de restriccin de acceso:
a) proporcionar mens para controlar el acceso a las funciones del sistema de aplicacin;
b) controlar los datos a los que un usuario en particular puede acceder;
c) controlar los derechos de acceso de los usuarios, es decir, de lectura, escritura, eliminacin y ejecucin;
d) controlar los derechos de acceso de otras aplicaciones;
e) limitar la informacin contenida en la produccin;
f) proporcionar controles de acceso fsicos o lgicos para el aislamiento de aplicaciones sensibles, datos o
sistemas de aplicacin.
9.4.2 Procedimientos de inicio de sesin seguros
Control
Cuando lo requiera la poltica de control de acceso, el acceso a los sistemas y aplicaciones debera estar
controlado por un procedimiento de inicio de sesin seguro.
Se debera seleccionar una tcnica de autenticacin adecuada para corroborar la identidad que un usuario
afirma tener. Cuando se requiera un nivel alto de autenticacin y verificacin de identidad, se deberan utilizar
mtodos alternativos a las contraseas, como medios criptogrficos, tarjetas inteligentes, tokens, o medios
biomtricos.
El procedimiento para iniciar sesin en un sistema o aplicacin debera estar diseado para minimizar la
posibilidad de acceso no autorizado. El procedimiento de inicio de sesin, por lo tanto, debera divulgar el
mnimo de informacin acerca del sistema o aplicacin, para poder evitar proporcionar asistencia innecesaria
a un usuario no autorizado. Un buen procedimiento de inicio de sesin debera tener las siguientes
caractersticas:
a) no mostrar identificadores del sistema o de la aplicacin hasta que el proceso de inicio de sesin haya
finalizado correctamente;
b) mostrar una advertencia de aviso general que indique que solo deberan acceder usuarios autorizados al
computador;

c) no proporcionar mensajes de ayuda durante el procedimiento de inicio de sesin que pudieran servir de
ayuda a un usuario no autorizado;
d) validar la informacin de inicio de sesin solo al completar todos los datos de entrada. Si surge una
condicin de error, el sistema no debera indicar qu parte de los datos son correctos o incorrectos;
e) proteger contra los intentos de inicio de sesin forzados;
f) registrar los intentos logrados y los fallidos;
g) activar un evento de seguridad si se detecta un posible intento de transgresin o su logro en los controles
de inicio de sesin;
h) mostrar la siguiente informacin al completar un inicio de sesin correcto:
1) fecha y hora del inicio de sesin correcto anterior;
2) detalles de cualquier intento de inicio de sesin fallido desde el ltimo inicio de sesin correcto;
i) no mostrar una contrasea que se ingresa;
j) no transmitir contraseas en texto sin cifrar a travs de una red;
k) terminar las sesiones inactivas despus de un perodo de inactividad, en especial en ubicaciones de alto
riesgo como reas pblicas o externas fuera de la administracin de seguridad de la organizacin o en
dispositivos mviles.
l) restringir los tiempos de conexin para brindar seguridad adicional para las aplicaciones de alto riesgo y
reducir la ventana de oportunidad para el acceso no autorizado.
Otra informacin
Las contraseas son una forma comn de proporcionar identificacin y autenticacin en base a un secreto
que solo conoce el usuario. Lo mismo se puede lograr con medios criptogrficos y protocolos de
autenticacin. La fortaleza de una autenticacin de usuario debera corresponder a la clasificacin de la
informacin a la que se acceder.
Si las contraseas se transmiten en texto sin cifrar durante el inicio de sesin a travs de una red, las puede
capturar un programa "sniffer que detecta informacin.
9.4.3 Sistema de administracin de contraseas
Control
Los sistemas de administracin de contraseas deberan ser interactivos y deberan garantizar contraseas
de calidad.
Un sistema de administracin de contraseas debera:
a) forzar el uso de IDs de usuario y contraseas individuales para mantener la responsabilidad;
b) permitir a los usuarios seleccionar y cambiar sus propias contraseas e incluir un procedimiento de
confirmacin para permitir los errores de entrada;
c) imponer la seleccin de contraseas de calidad;

d) obligar a los usuarios a cambiar sus contraseas al primer inicio de sesin;
e) imponer cambios regulares de contraseas segn sea necesario;
f) mantener un registro de las contraseas utilizadas anteriormente y evitar su nuevo uso;
g) no mostrar contraseas en la pantalla mientras se ingresan;
h) almacenar archivos de contraseas de manera separada de los datos del sistema de aplicacin;
i) almacenar y transmitir contraseas en forma protegida.
Otra informacin
Algunas aplicaciones requieren que una autoridad independiente asigne contraseas de usuario; en tales
casos, las letras b), d) y e) de la orientacin anterior no se aplican. En la mayora de los casos los usuarios
seleccionan y mantienen las contraseas.
9.4.4 Uso de programas de utilidad privilegiados
Control
El uso de programas de utilidad que pueden ser capaces de anular el sistema y los controles de aplicacin se
deberan restringir y controlar ntegramente.
Se deberan considerar las siguientes pautas para el uso de programas de utilidad que pueden ser capaces
de anular los controles del sistema y de la aplicacin:
a) uso de procedimientos de identificacin, autenticacin y autorizacin para los programas de utilidad;
b) segregacin de programas de utilidad de software de aplicaciones;
c) limitacin del uso de programas de utilidad al nmero mnimo prctico de usuarios confiables y
autorizados (ver 9.2.3);
d) autorizacin para programas de utilidad ad hoc;
e) limitacin de la disponibilidad de programas de utilidad, es decir, por la duracin de un cambio

autorizado;
f) registro de todo el uso de los programas de utilidad;
g) definicin y documentacin de los niveles de autorizacin para los programas de utilidad;
h) eliminacin o deshabilitacin de todos los programas de utilidad innecesarios;
i) no dejar los programas de utilidad disponibles a los usuarios que tienen acceso a las aplicaciones de los
sistemas donde se requiere la segregacin de deberes.
Otra informacin
La mayora de las instalaciones de computadores tienen uno o ms programas de utilidad que pueden ser
capaces de anular los controles del sistema y de la aplicacin.

9.4.5 Control de acceso al cdigo de fuente del programa
Control
Se debera restringir el acceso al cdigo de fuente de programas.
El acceso al cdigo de fuente de programas y los elementos asociados (como diseos, especificaciones,
planes de verificacin y validacin) se debera controlar estrictamente, para poder evitar la introduccin de
funcionalidades no autorizadas y para evitar los cambios no intencionales, as como tambin, para mantener
la confidencialidad de la propiedad intelectual. Para el cdigo de fuente de programas, esto se puede lograr
mediante un almacenamiento central controlado de dicho cdigo, de preferencia en bibliotecas de fuente de
programas. Por lo tanto, se deberan considerar las siguientes pautas para controlar el acceso a dichas
bibliotecas de fuente de programas y poder reducir el potencial de corrupcin de programas computacionales:
a) donde sea posible, las bibliotecas de fuente de programas no se deberan mantener en los sistemas
operacionales;
b) el cdigo de fuente de programas y las bibliotecas de fuente de programas se deberan administrar de

acuerdo a los procedimientos establecidos;
c) el personal de apoyo no debera contar con acceso sin restriccin a las bibliotecas de fuente de
programas;
d) la actualizacin de las bibliotecas de fuente de programas y los elementos asociados, junto con la
emisin de las fuentes de programas a los programadores solo se debera realizar cuando se haya
recibido la autorizacin correspondiente;
e) las listas de programas se deberan mantener en un entorno seguro;
f) se debera mantener un registro de auditora de todos los accesos a las bibliotecas de fuente de
programas;
g) el mantenimiento y el copiado de bibliotecas de fuente de programas estarn sujetos a procedimientos de

control de cambios estrictos (ver 14.2.2).
Si el cdigo de fuente de programa est hecho para ser publicado, se deberan considerar controles
adicionales para ayudar a obtener una garanta de su integridad (es decir, firma digital).
10 Criptografa
10.1 Controles criptogrficos
Objetivo: garantizar el uso adecuado y eficaz de la criptografa para proteger la confidencialidad, la

autenticidad y/o la integridad de la informacin.
10.1.1 Polticas sobre el uso de controles criptogrficos
Control
Se debera desarrollar e implementar una poltica sobre el uso de controles criptogrficos para la proteccin
de la informacin.

Al desarrollar una poltica criptogrfica se debera considerar lo siguiente:
a) el enfoque de administracin hacia el uso de controles criptogrficos en toda la organizacin, incluidos

los principios generales bajo los que se debera proteger la informacin comercial;
b) en base a una evaluacin de riesgos, se debera identificar el nivel de proteccin necesario considerando
el tipo, la fortaleza y la calidad del algoritmo de cifrado necesario;
c) el uso de cifrado para la proteccin de informacin que se transporta a travs de medios mviles o
extrables o a travs de lneas de comunicacin.
d) el enfoque a la administracin de claves, incluidos los mtodos para lidiar con la proteccin de claves
criptogrficas y la recuperacin de la informacin cifrada en caso claves perdidas, comprometidas o
daadas;
e) los roles y responsabilidades, es decir, quin es responsable de:
1) la implementacin de la poltica;
2) la administracin de claves, incluida la generacin de claves (ver 10.1.2);
f) las normas que se adoptarn para la implementacin eficaz en toda la organizacin (cul es la solucin
que se usa para qu procesos comerciales);
g) el impacto del uso de informacin cifrada en controles que se apoyan en la inspeccin de contenido (es
decir, la deteccin de malware).
Al implementar la poltica criptogrfica de la organizacin, se deberan considerar las normativas y las

restricciones nacionales que se pueden aplicar al uso de tcnicas criptogrficas en distintas partes del mundo
y a los asuntos del flujo de informacin cifrada a travs de las fronteras (ver 18.1.5).
Se pueden utilizar controles criptogrficos para lograr distintos objetivos de seguridad de la informacin, es
decir:
a) confidencialidad: uso de cifrado de la informacin para proteger la informacin sensible o crtica, ya sea
almacenada o transmitida;
b) integridad/autenticidad: uso de firmas digitales o cdigos de autenticacin de mensajes para verificar la

autenticidad o integridad de la informacin almacenada o transmitida sensible o crtica;
c) no repudio: uso de tcnicas criptogrficas para brindar evidencia de la ocurrencia o no ocurrencia de un

evento o accin;
d) autenticacin: uso de tcnicas criptogrficas para autenticar a los usuarios y a otras entidades del
sistema que solicitan acceso a o realizan transacciones con usuarios, entidades y recursos del sistema.
Otra informacin
La toma de una decisin respecto de si una solucin criptogrfica es adecuada se debera considerar como
parte del proceso ms amplio de evaluacin de riesgos y seleccin de controles. Esta evaluacin se puede
utilizar para determinar si un control criptogrfico es adecuado, qu tipo de control se debera aplicar y para
qu propsito y procesos comerciales.
Es necesaria una poltica sobre el uso de controles criptogrficos para maximizar los beneficios y minimizar
los riesgos del uso de tcnicas criptogrficas y para evitar el uso inadecuado o incorrecto.
Se debera buscar la asesora de especialistas al seleccionar los controles criptogrficos adecuados para
cumplir con los objetivos de la poltica de seguridad de la informacin.

10.1.2 Administracin de claves
Control
Se debera desarrollar e implementar una poltica sobre el uso, la proteccin y el ciclo de vida de las claves
criptogrficas a travs de todo su ciclo de vida.
La poltica debera incluir los requisitos para administrar claves criptogrficas a travs de todo su ciclo de vida
incluida la generacin, el almacenamiento, el archivo, la recuperacin, la distribucin, el retiro y la destruccin
de claves.
Los algoritmos criptogrficos, las longitudes de las claves y las prcticas de uso se deberan seleccionar de
acuerdo a las buenas prcticas. La administracin adecuada de claves requiere de procesos seguros para
generar, almacenar, archivar, recuperar, distribuir, retirar y destruir claves criptogrficas.
Todas las claves criptogrficas se deberan proteger contra la modificacin y las prdidas. Adems, las
claves secretas y privadas necesitan de proteccin contra el uso no autorizado junto con la divulgacin. Los
equipos que se utilizan para generar, almacenar y archivar claves deberan estar protegidos fsicamente.
Un sistema de administracin de claves se debera basar en un conjunto de normas, procedimientos y

mtodos seguros para:
a) generar claves para distintos sistemas criptogrficos y distintas aplicaciones;
b) emitir y obtener certificados de claves pblicos;
c) distribuir claves a las entidades deseadas, incluida adems la forma en que se deberan activar tras su
recepcin;
d) almacenamiento de claves, incluida la forma en que los usuarios obtienen acceso a las claves;
e) cambio o actualizacin de claves incluidas las reglas sobre cuando se deberan cambiar las claves y
cmo se har;
f) encargarse de las claves comprometidas;
g) eliminar claves, incluida la forma en que se deberan retirar o desactivar, es decir, cuando se han
comprometido las claves o cuando un usuario abandona una organizacin (en cuyo caso las claves
tambin se deberan archivar);
h) recuperacin de las claves prdidas o corrompidas;
i) respaldo o archivado de claves;
j) destruccin de claves;
k) registro y auditora de actividades relacionadas con la administracin de claves.
Para poder reducir la probabilidad del uso inadecuado, se deberan definir las fechas de activacin y
desactivacin para las claves de modo que solo se puedan utilizar por el perodo de tiempo definido en la
poltica de administracin de claves asociada.
Adems de la administracin segura de claves secretas y privadas, tambin se debera considerar la

autenticidad de las claves pblicas. Este proceso de autenticacin se puede realizar utilizando certificados de
claves pblicos, que generalmente los emite una autoridad de certificacin, que debera ser una organizacin
reconocida con controles y procedimientos adecuados en vigencia para proporcionar el nivel de confianza
necesario.

El contenido de los acuerdos o contratos de nivel de servicios con proveedores externos o servicios
criptogrficos, es decir, con una autoridad de certificacin, debera cubrir asuntos de confiabilidad de los
servicios y tiempos de respuesta para la provisin de servicios (ver 15.2).
Otra informacin
La administracin de claves criptogrficas es fundamental para el uso eficaz de las tcnicas criptogrficas.
ISO/IEC 11770 brinda ms informacin sobre la administracin de claves.
Tambin se pueden utilizar tcnicas criptogrficas para proteger claves criptogrficas. Es posible que se
deban considerar procedimientos para manejar las solicitudes legales para el acceso a claves criptogrficas,
es decir, se puede requerir tener disponible informacin de manera descifrada como evidencia en un caso de
tribunales.
11 Seguridad fsica y ambiental
11.1 Areas seguras
Objetivo: evitar el acceso fsico no autorizado, los daos e interferencias a la informacin de la organizacin y
las instalaciones de procesamiento de la informacin.
11.1.1 Permetro de seguridad fsica
Control
Los permetros de seguridad se deberan definir y utilizar para proteger a las reas que contienen informacin
y a las instalaciones de procesamiento de informacin sensible o crtica.
Las siguientes pautas se deberan considerar e implementar donde corresponda para los permetros de
seguridad fsicos:
a) se deberan definir permetros de seguridad y el emplazamiento y la ubicacin de cada uno de los

permetros debera depender de los requisitos de seguridad de los activos dentro del permetro y los
resultados de una evaluacin de riesgos;
b) los permetros del edificio o del sitio donde se albergan las instalaciones de procesamiento de informacin
deberan ser fsicamente slidos (es decir, no deberan haber brechas en el permetro o en las reas donde
se podra generar un agrietamiento fcilmente); el techo exterior, las paredes y el piso del sitio deberan ser
de construccin slida y todas las puertas externas deberan estar protegidas adecuadamente contra el
acceso no autorizado con mecanismos de control, (es decir, barras, alarmas, candados); las puertas y
ventanas se deberan cerrar con llave correctamente, cuando se dejan sin vigilancia y se debera considerar
una proteccin externa para las ventanas, en particular a nivel del suelo;
c) se debera contar con un rea de recepcin atendida por una persona u otros medios para controlar el
acceso fsico al sitio o al edificio; el acceso a los sitios y al edificio se debera restringir solo al personal
autorizado;
d) se deberan construir barreras fsicas donde corresponda para evitar el acceso fsico no autorizado y la
contaminacin ambiental;
e) todas las puertas contra incendios en un permetro de seguridad deberan tener una alarma, ser
monitoreadas y probadas en conjunto con las paredes para establecer el nivel de resistencia necesario
de acuerdo con las normas regionales, nacionales e internacionales correspondientes; deberan operar
de acuerdo al cdigo de incendios local y a prueba de fallos;

f) se deberan instalar sistemas de deteccin de intrusos adecuados de acuerdo con las normas
nacionales, regionales o internacionales y se deberan probar regularmente para cubrir todas las puertas
externas y las ventanas accesibles; las reas no ocupadas deberan tener las alarmas activadas en todo
momento; tambin se debera proporcionar una cubierta para el resto de las reas, es decir, las salas de
computacin o las salas de comunicaciones;
g) las instalaciones de procesamiento de informacin que administra la organizacin deberan estar

separada fsicamente de las que administran terceros.
Otra informacin
Se puede lograr proteccin al crear una o ms barreras fsicas alrededor de las dependencias y las instalaciones
de procesamiento de informacin de la organizacin. El uso de varias barreras brinda proteccin adicional, donde
la falla de una sola barrera no significa que la seguridad se ve comprometida inmediatamente.
El rea segura puede ser una oficina que se puede cerrar con llave o varias salas rodeadas de una barrera
de seguridad fsica interna continua. Es posible que se necesiten barreras y permetros adicionales para
controlar el acceso fsico entre las reas con distintos requisitos de seguridad dentro del permetro de
seguridad. Se debera prestar especial atencin a la seguridad del acceso fsico en el caso de los edificios
que albergan activos para varias organizaciones.
La aplicacin de controles fsicos, en especial para las reas seguras, se debera adaptar a las circunstancias
tcnicas y econmicas de la organizacin, segn se establece en la evaluacin de riesgos.
11.1.2 Controles de entrada fsica
Control
Las reas seguras deberan estar protegidas con controles de entrada adecuados para garantizar que solo se
permita el acceso al personal autorizado.
Se deberan considerar las siguientes pautas:
a) se debera registrar la fecha y la hora de entrada y salida de las visitas y, se debera supervisar a todas
las visitas a menos que su acceso haya sido aprobado anteriormente; solo se les debera otorgar acceso
para propsitos especficos y autorizados y se debera emitir de acuerdo a las instrucciones de los
requisitos de seguridad del rea y a los procedimientos de emergencia. Se debera autenticar la identidad
de las visitas con un medio adecuado;
b) el acceso a las reas donde se procesa o almacena la informacin confidencial se debera restringir a las
personas autorizadas solo mediante la implementacin de controles de acceso adecuados, es decir, al
implementar un mecanismo de autenticacin de dos factores como una tarjeta de acceso y un PIN secreto;
c) se debera mantener y monitorear de manera segura un libro de registro fsico o una auditora de
seguimiento electrnica de todo el acceso;
d) todos los empleados, contratistas y partes externas deberan portar algn tipo de identificacin visible y
se debera notificar inmediatamente al personal de seguridad si encuentran visitas sin escolta y a
cualquier persona que no porte una identificacin visible;
e) se le debera otorgar acceso restringido al personal de servicios de apoyo de terceros a las reas
seguras o a las instalaciones de procesamiento de informacin confidencial solo cuando sea necesario;
este acceso se debera autorizar y monitorear;
f) los derechos de acceso a las reas protegidas se deberan revisar y actualizar de manera regular y,
revocar cuando sea necesario (ver 9.2.5 y 9.2.6).

11.1.3 Proteccin de oficinas, salas e instalaciones
Control
Se debera disear y aplicar un sistema de seguridad fsica para las oficinas, salas e instalaciones.
Las siguientes pautas se deberan considerar para proteger a las oficinas, salas e instalaciones:
a) las instalaciones clave se deberan emplazar para evitar el acceso del pblico;
b) donde corresponda, los edificios deberan ser discretos y brindar una indicacin mnima sobre su
propsito, sin signos obvios, fuera o dentro del edificio, identificando la presencia de actividades de
procesamiento de informacin;
c) las instalaciones se deberan configurar para evitar que la informacin o las actividades confidenciales se
vean y escuchen desde fuera. Tambin se debera considerar el blindaje electromagntico como
adecuado;
d) los directorios y las libretas telefnicas internas que identifican la ubicacin de las instalaciones de
procesamiento de informacin confidencial no deberan estar disponibles fcilmente a personas no
autorizadas.
11.1.4 Proteccin contra las amenazas externas y ambientales
Control
Se debera disear y aplicar una proteccin fsica contra desastres naturales, ataques maliciosos o
accidentes.
Se debera obtener asesora de especialistas sobre cmo evitar los daos provocados por incendios,
inundaciones, terremotos, explosiones, disturbios y otras formas de desastres naturales o provocados por el
hombre.
11.1.5 Trabajo en reas seguras
Control
Se deberan disear y aplicar procedimientos para trabajar en reas seguras.
a) el personal debera estar al tanto de la existencia de, o de las actividades dentro de un rea segura
segn se considere necesario.
b) se debera evitar el trabajo no supervisado en reas seguras, tanto por motivos de seguridad como para
evitar las oportunidades de actividades maliciosas;
c) las reas seguras vacantes se deberan cerrar fsicamente con candado y se deberan revisar de manera
peridica;
d) no se deberan permitir los equipos fotogrficos, de video o audio, como las cmaras de dispositivos
mviles, a menos que se autoricen.
Las disposiciones para trabajar en reas seguras incluyen controles para los empleados y usuarios de
terceros trabajando en el rea segura y cubren todas las actividades que se realizan en el rea segura.

11.1.6 Areas de entrega y carga
Control
Se deberan controlar los puntos de acceso como las reas de entrega y carga y otros puntos donde pudieran
ingresar personas no autorizadas a las dependencias y, de ser posible, se deberan aislar de las
instalaciones de procesamiento de informacin para evitar el acceso.
a) se debera restringir el acceso a un rea de entrega y carga desde fuera del edificio al personal
identificado y autorizado;
b) el rea de entrega y carga debera estar diseado de manera que se puedan cargar y descargar los
suministros sin que el personal que realiza la entrega acceda a otras reas del edificio;
c) las puertas externas a un rea de entrega y carga se deberan resguardar cuando se abren las puertas
internas;
d) se debera inspeccionar y examinar el material entrante en busca de explosivos, qumicos u otros

materiales peligrosos, antes de que se mueva de un rea de entrega y carga;
e) el material entrante se debera registrar de acuerdo con los procedimientos de administracin de activos
(ver clusula 8) en la entrada al sitio;
f) los envos entrantes y salientes se deberan segregar fsicamente, donde sea posible;
g) se debera inspeccionar al material entrante en busca de evidencias de manipulacin indebida en la ruta.

Si se descubre la manipulacin, se debera informar inmediatamente al personal de seguridad.
11.2 Equipos
Objetivo: evitar la prdida, los daos, el robo o el compromiso de activos y la interrupcin a las operaciones
de la organizacin.
11.2.1 Emplazamiento y proteccin de equipos
Control
Los equipos se deberan emplazar y proteger para reducir los riesgos de las amenazas y peligros
ambientales y las oportunidades de acceso no autorizado.
Se deberan considerar las siguientes pautas para la proteccin de equipos:
a) el equipo se debera emplazar en un lugar determinado para minimizar el acceso innecesario a las reas
de trabajo;
b) las instalaciones de procesamiento de informacin que manejan datos sensibles se deberan ubicar
cuidadosamente para reducir el riesgo de que personas no autorizadas la vean durante su uso;
c) las instalaciones de almacenamiento se deberan proteger para evitar el acceso no autorizado;

d) los elementos que requieren proteccin especial se deberan resguardar para reducir el nivel general de
proteccin necesaria;
e) se deberan adoptar controles para minimizar el riesgo de posibles amenazas fsicas y ambientales, es
decir, robos, incendios, humo, agua (o una falla del suministro de agua), polvo, vibraciones, efectos
qumicos, interferencia del suministro elctrico, interferencia en las comunicaciones, radiacin
electromagntica y vandalismo;
f) se deberan establecer pautas para comer, beber y fumar en la proximidad de las instalaciones de
procesamiento de informacin;
g) se deberan monitorear las condiciones ambientales como la temperatura y la humedad en busca de

condiciones que pudieran afectar adversamente a la operacin de las instalaciones de procesamiento de
informacin;
h) se debera aplicar proteccin a la luminaria en todos los edificios y se deberan instalar filtros de
proteccin de iluminacin a todas los cables de tendido elctrico y de comunicacin entrantes;
i) se debera considerar el uso de mtodos de proteccin especial, como membranas de teclado para los
equipos en entornos industriales;
j) la informacin confidencial del procesamiento de equipos se debera proteger para minimizar el riesgo del
filtrado de informacin debido a la emanacin electromagntica.
11.2.2 Servicios bsicos de apoyo
Control
El equipo debera estar protegido contra cortes de luz y otras interrupciones provocadas por fallas en los
servicios bsicos de apoyo.
Los servicios bsicos de apoyo (es decir, la electricidad, las telecomunicaciones, el suministro de agua, gas,
ventilacin y aire acondicionado) deberan:
a) cumplir con las especificaciones del fabricante del equipo y con los requisitos legales locales;
b) someterse a evaluaciones peridicas para cumplir con el crecimiento del negocio y las interacciones con
otros servicios bsicos de apoyo;
c) someterse a inspecciones y pruebas regularmente para garantizar su funcionamiento correcto;
d) en caso de ser necesario contar con alarmas para detectar fallas;
e) en caso de ser necesario, debera contar con varias alimentaciones con distintos enrutamientos fsicos.
Se deberan proporcionar iluminacin y comunicaciones de emergencia. Los interruptores de emergencia y

las vlvulas para cortar la electricidad, el agua, el gas u otros servicios bsicos se deberan ubicar cerca de
las salidas de emergencia o de las salas equipadas.
Otra informacin
Se puede obtener una redundancia adicional para la conectividad de redes mediante varias rutas de ms de
un proveedor de servicios bsicos.

11.2.3 Seguridad del cableado
Control
Los cables de electricidad y telecomunicaciones que transportan datos o apoyan a los servicios de
informacin se deberan proteger de la intercepcin, interferencia o daos.
Se deberan considerar las siguientes pautas para la seguridad del cableado:
a) los cables de electricidad y telecomunicaciones hacia las instalaciones de procesamiento de informacin

deberan ser subterrneos, donde sea posible o estar sujetos a proteccin alternativa adecuada;
b) los cables de electricidad deberan estar apartados de los cables de comunicacin para evitar
interferencias;
c) para los sistemas sensibles o crticos, se deberan considerar ms controles que incluyen:
1) la instalacin de conductos armados y salas o cajas cerradas con llave en los puntos de inspeccin y
terminacin;
2) el uso de blindaje electromagntico para proteger los cables;
3) el inicio de barridas tcnicas e inspecciones fsicas en busca de dispositivos no autorizados

conectados a los cables;
4) el acceso controlado a los paneles de parches y a las salas de cables.
11.2.4 Mantenimiento de equipos
Control
Los equipos se deberan mantener correctamente para garantizar su disponibilidad e integridad continuas.
Se deberan considerar las siguientes pautas para el mantenimiento de equipos:
a) los equipos se deberan mantener de acuerdo a los intervalos y especificaciones de servicio

recomendados por el proveedor;
b) solo el personal de mantenimiento autorizado debera realizar reparaciones y labores de mantenimiento y

servicio a los equipos;
c) se deberan mantener registros de todas las fallas sospechosas o reales y de todo el mantenimiento
preventivo y correctivo;
d) se deberan implementar controles adecuados cuando se programa el mantenimiento de equipos

considerando si este mantenimiento lo realizar el personal en terreno o externo a la organizacin; donde
sea necesario se debera eliminar la informacin confidencial del equipo o bien lo debera realizar el
personal de mantenimiento;
e) se debera cumplir con todos los requisitos de mantenimiento impuestos por las polticas de seguros;
f) luego de volver a poner al equipo en funcionamiento despus de su mantenimiento, se debera

inspeccionar para garantizar que no ha sido adulterado y que funciona adecuadamente.

11.2.5 Retiro de activos
Control
Los equipos, la informacin o el software no se deberan retirar del sitio sin una autorizacin previa.
a) se debera identificar a los empleados y partes externas que tienen la autoridad para permitir el retiro
fuera del sitio de los activos;
b) se deberan establecer lmites de tiempo para el retiro de activos y los retornos se deberan verificar para
comprobar su cumplimiento;
c) donde sea necesario y corresponda, se deberan registrar a los activos que se retiran del sitio y tambin
cuando se regresan;
d) la identidad, el rol y la afiliacin de cualquier persona que maneje o utilice activos se debera documentar
y, esta documentacin se debera regresar con el equipo, la informacin o el software.
Otra informacin
Las comprobaciones rpidas que se realizan para detectar el retiro no autorizado de activos, tambin se
pueden realizar para detectar dispositivos de grabacin no autorizados, armas, etc. y para evitar su ingreso y
egreso desde el sitio. Dichas comprobaciones rpidas se deberan realizar de acuerdo con la legislacin y
normativas pertinentes. Las personas deberan estar en conocimiento de la realizacin de las
comprobaciones rpidas y las verificaciones solo se deberan realizar con la autorizacin correspondiente de
acuerdo con los requisitos legales y normativos.
11.2.6 Seguridad de los equipos y los activos fuera de las dependencias
Control
Se debera aplicar la seguridad fuera del sitio a los activos considerando los distintos riesgos de trabajar fuera
de las dependencias de la organizacin.
El uso de cualquier tipo de equipos de almacenamiento y procesamiento de informacin fuera de las

dependencias de la organizacin debera autorizarlo la direccin. Esto se aplica a los equipos de propiedad
de la organizacin y a los equipos de propiedad privada que se utilizan a nombre de la organizacin.
Se deberan considerar las siguientes pautas para la proteccin del equipo fuera del sitio:
a) los equipos y medios que se sacan de las dependencias no se deberan dejar sin supervisin en lugares
pblicos;
b) se deberan observar las instrucciones del fabricante en todo momento, es decir, la proteccin contra la
exposicin a campos electromagnticos fuertes;
c) se deberan determinar controles para las ubicaciones fuera de las dependencias, como el trabajo en
casa, el teletrabajo y los sitios temporales mediante una evaluacin de riesgos y se deberan aplicar los
controles adecuados segn corresponda, es decir, archivadores con llave, poltica de escritorio
despejado, controles de acceso para los computadores y comunicacin segura con la oficina (ver
tambin ISO/IEC 27033);

d) cuando se trasladan los equipos fuera de las dependencias entre distintas personas o partes externas, se
debera mantener un registro que defina la cadena de custodia para el equipo incluidos al menos los
nombres y las organizaciones de aquellos responsables de los equipos.
Los riesgos, es decir, los daos, el robo, el escuchar secretamente pueden variar considerablemente entre
las ubicaciones y se deberan considerar al determinar los controles ms adecuados.
Otra informacin
Los equipos de almacenamiento y procesamiento de informacin incluyen todas las formas de computadores
personales, organizadores, telfonos mviles, tarjetas inteligentes, papel u otra forma, que se mantiene para
el trabajo en casa o para transportarla fuera de la ubicacin de trabajo normal.
Puede encontrar ms informacin sobre otros aspectos de la proteccin de equipos mviles en 6.2.
Puede resultar adecuado evitar el riesgo desalentando a ciertos empleados a trabajar fuera del sitio o
restringir su uso de equipos de TI porttil;
11.2.7 Eliminacin o reutilizacin segura de equipos
Control
Se deberan verificar todos los equipos que contengan medios de almacenamiento para garantizar que
cualquier tipo de datos sensibles y software con licencia se hayan extrado o se hayan sobrescrito de manera
segura antes de su eliminacin o reutilizacin.
Se debera verificar el equipo para asegurarse de que contiene o no medios de almacenamiento antes de su
eliminacin o reutilizacin. Los medios de almacenamiento que contienen informacin confidencial o con
derecho de autor se deberan destruir fsicamente o bien, la informacin se debera destruir, eliminar o
sobrescribir mediante tcnicas para hacer que la informacin original no se pueda recuperar en vez de utilizar
la funcin de eliminacin o formateo normal.
Otra informacin
Es posible que los equipos daados que contienen medios de almacenamiento requieran una evaluacin de
riesgos para determinar si stos se deberan destruir fsicamente en vez de repararlos o eliminarlos. La
informacin se puede ver comprometida a travs de la eliminacin o la reutilizacin de equipos poco
cuidadosa.
Adems del borrado seguro del disco, el cifrado del disco completo reduce el riesgo de divulgar informacin
confidencial cuando se elimina o vuelve a implementar el equipo, siempre que:
a) el proceso de cifrado sea lo suficientemente fuerte y que cubra a todo el disco (incluido el espacio
despejado, los archivos de intercambio, etc.);
b) las claves de cifrado sean lo suficientemente largas como para resistir los ataques de fuerza bruta;
c) las claves de cifrado en s se mantengan de manera confidencial (es decir, que nunca se almacenen en
el mismo disco).
Para obtener ms informacin sobre el cifrado, ver clusula 10.
Las tcnicas para sobrescribir los medios de almacenamiento de manera segura pueden diferir de acuerdo
con la tecnologa de los medios de almacenamiento. Se deberan revisar las herramientas de sobreescritura
para asegurarse de que se pueden aplicar a la tecnologa de los medios de almacenamiento.

11.2.8 Equipos de usuario no supervisados
Control
Los usuarios se deberan asegurar de que los equipos no supervisados cuentan con la proteccin adecuada.
Todos los usuarios deberan conocer los requisitos y procedimientos de seguridad para proteger a los
equipos sin supervisin, as como tambin sus responsabilidades para implementar dicha proteccin. Se les
debera indicar lo siguiente a los usuarios:
a) que finalicen las sesiones activas cuando terminen, a menos que se puedan proteger con un mecanismo
de bloqueo adecuado, es decir, un protector de pantalla protegido con contrasea;
b) cerrar sesin en las aplicaciones o servicios de redes cuando ya no se necesiten;
c) proteger a los computadores o dispositivos mviles del uso no autorizado mediante un candado con llave
o un control equivalente, es decir, acceso con contrasea, cuando no se utilice.
11.2.9 Poltica de escritorio despejado y pantalla despejada
Control
Se debera adoptar una poltica de escritorio despejado para los papeles y para los medios de
almacenamiento extrables y una poltica de pantalla despejada para las instalaciones de procesamiento de
informacin.
La poltica de escritorio despejado y pantalla despejada debera considerar las clasificaciones de informacin
(ver 8.2), los requisitos legales y contractuales (ver 18.1) y los riesgos y aspectos culturales correspondientes
de la organizacin. Se deberan considerar las siguientes pautas:
a) la informacin sensible o crtica para el negocio, es decir, en medios de almacenamiento electrnico o

papel, se debera mantener guardada bajo llave (idealmente en una caja fuerte o gabinete u otras formas
de muebles de seguridad) cuando no se necesite, especialmente cuando la oficina est desocupada.
b) se deberan mantener desconectados a los computadores y terminales o protegidos con un mecanismo

de bloqueo de pantalla y teclado mediante una contrasea, token o mecanismo de autenticacin de
usuario similar cuando se deja sin supervisar y se debera proteger con bloqueos de tecla, contraseas u
otros controles cuando no est en uso;
c) se debera evitar el uso no autorizado de fotocopiadoras u otro tipo de tecnologas de reproduccin (es
decir, escneres, cmaras digitales);
d) los medios que contienen informacin sensible o clasificada se deberan extraer de las impresoras
inmediatamente.
Otra informacin
Una poltica de escritorio despejado/pantalla despejada reduce el riesgo del acceso al personal no
autorizado, la prdida o dao de la informacin durante y fuera de las horas laborales normales. Las cajas
fuertes y otras formas de instalaciones de almacenamiento seguro tambin pueden proteger a la informacin
almacenada en su interior contra desastres como incendios, terremotos, inundaciones o explosiones.
Considere el uso de impresoras con funcin de cdigo PIN, para que los originadores sean los nicos que
puedan obtener sus impresiones y solo al estar al lado de la impresora.

12 Seguridad de las operaciones
12.1 Procedimientos y responsabilidades operacionales
Objetivo: garantizar las operaciones correctas y seguras de las instalaciones de procesamiento de

informacin.
12.1.1 Procedimientos operativos documentados
Control
Los procedimientos operativos se deberan documentar y dejar a disposicin de todos los usuarios que los
necesiten.
Se deberan preparar procedimientos documentados para las actividades operacionales asociadas con las
instalaciones de procesamiento y comunicacin de informacin, como procedimientos de inicio y cierre de
sesin de computadores, respaldo, mantenimiento de equipos, manejo de medios, salas de computacin y
administracin y seguridad de manejo de correo.
Los procedimientos operativos deberan especificar las instrucciones operacionales, incluidas:
a) la instalacin y configuracin de los sistemas;
b) el procesamiento y manipulacin de la informacin tanto automtica como manual;
c) respaldo (ver 12.3);
d) los requisitos de programacin, incluidas las interdependencias con otros sistemas, las horas de inicio del
trabajo ms temprano y de finalizacin del trabajo ms tardas;
e) instrucciones para el manejo de errores u otras condiciones excepcionales, los que pueden surgir durante
la ejecucin del trabajo, incluidas las restricciones sobre el uso de las utilidades del sistema (ver 9.4.4);
f) contactos de apoyo y escalamiento incluidos los contactos de soporte externos en el caso de presentarse
dificultades operativas o tcnicas inesperadas;
g) instrucciones de manejo de salidas y medios especiales, como el uso de papelera especial o el manejo
de resultados confidenciales incluidos los procedimientos para la eliminacin segura de salidas de
trabajos fallidos (ver 8.3 y 11.2.7);
h) reinicio del sistema y procedimientos de recuperacin para utilizar en el caso de fallas del sistema;
i) la administracin del seguimiento de auditora y de la informacin de registro del sistema (ver 12.4);
j) procedimientos de monitoreo.
Los procedimientos operativos y los procedimientos documentados para las actividades del sistema se
deberan tratar como documentos formales y los cambios deberan estar autorizados por la direccin. Donde
sea tcnicamente factible, los sistemas de informacin se deberan administrar de manera coherente,
utilizando los mismos procedimientos, herramientas y utilidades.

12.1.2 Administracin de cambios
Control
Se deberan controlar los cambios a la organizacin, los procesos comerciales, las instalaciones de
procesamiento de informacin y los sistemas que afectan a la seguridad de la informacin.
En particular, se deberan considerar los siguientes elementos:
a) identificacin y registro de cambios significativos;
b) planificacin y pruebas de cambios;
c) evaluacin de los posibles impactos, incluidos los impactos de seguridad en la informacin, de dichos
cambios;
d) procedimiento de aprobacin formal para los cambios propuestos;
e) verificacin de que se han cumplido los requisitos de seguridad;
f) comunicacin de los detalles de los cambios a todas las personas pertinentes;
g) procedimientos de retroceso, incluidos los procedimientos y responsabilidades para abortar y recuperar

los cambios incorrectos y los eventos inesperados;
h) provisin de un proceso de cambio de emergencia para permitir la implementacin rpida y controlada de

los cambios necesarios para resolver un incidente (ver 16.1).
Deberan existir responsabilidades y procedimientos de administracin formales para garantizar el control

satisfactorio de todos los cambios. Cuando se realizan los cambios, se debera mantener un registro de
auditora que contenga toda la informacin pertinente.
Otra informacin
El control inadecuado de cambios a las instalaciones y sistemas de procesamiento de la informacin es una

causa comn para las fallas de seguridad o del sistema. Los cambios al entorno operacional, especialmente
al transferir un sistema desde la etapa de desarrollo a la operacional, pueden tener un impacto en la fiabilidad
de las aplicaciones (ver 14.2.2).
12.1.3 Administracin de capacidad
Control
El uso de recursos se debera monitorear, ajustar y se deberan hacer las proyecciones necesarias para los
requisitos futuros de capacidad y as poder garantizar el rendimiento que el sistema requiere.
Se deberan identificar los requisitos de capacidad, considerando la criticidad para el negocio del sistema
involucrado. Se debera aplicar el procedimiento de ajuste y monitoreo del sistema para garantizar y, donde
sea necesario, mejorar la disponibilidad y la eficiencia de los sistemas. Se deberan poner controles de
deteccin en vigencia para indicar los problemas a su debido tiempo. Las proyecciones sobre los requisitos
futuros de capacidad deberan considerar los nuevos requisitos del negocio y del sistema y las tendencias
actuales y proyectadas en las capacidades de procesamiento de informacin de la organizacin.

Se debera prestar especial atencin a cualquier recurso con tiempos de accin de adquisicin extensos o
costos altos, por lo tanto, los gerentes deberan monitorear la utilizacin de los recursos de los sistemas
clave. Deberan identificar las tendencias en el uso, en particular en relacin con las aplicaciones comerciales
o con las herramientas de administracin de sistemas de informacin.
Los gerentes deberan utilizar esta informacin para identificar y evitar posibles cuellos de botella y la
dependencia del personal clave que puede presentar una amenaza a la seguridad o los servicios del sistema
y planificar acciones adecuadas.
Se puede proporcionar una capacidad suficiente mediante el aumento de la capacidad o la reduccin de la

demanda. Algunos ejemplos de la administracin de la demanda de capacidad incluyen:
a) eliminacin de datos obsoletos (espacio en el disco);
b) sacar de servicio a las aplicaciones, sistemas, bases de datos o entornos;
c) eliminacin de los procesos y programaciones de parches;
d) optimizacin de las consultas de lgicas de aplicaciones o bases de datos;
e) negacin o restriccin del ancho de banda para recursos que consumen muchos recursos si no son
crticos para el negocio (es decir, streaming de video).
Se debera considerar un plan de administracin de capacidad documentado para los sistemas crticos para
la misin.
Otra informacin
Este control tambin aborda la capacidad de los recursos humanos, as como tambin las oficinas e
instalaciones.
12.1.4 Separacin de entornos de desarrollo, pruebas y operacionales
Control
Los entornos de desarrollo, pruebas y operacionales se deberan separar para reducir los riesgos del acceso
o cambios no autorizados al entorno operacional.
Se debera identificar e implementar el nivel de separacin entre los entornos operativos, de prueba y
desarrollo necesario para evitar los problemas operacionales.
Se deberan considerar los siguientes elementos:
a) se deberan definir y documentar las reglas de transferencia de software desde un estado de desarrollo al
operacional;
b) el software de desarrollo y operativo se debera ejecutar en distintos sistemas o procesadores de

computador y en distintos dominios y directorios;
c) se deberan probar los cambios a los sistemas operativos y aplicaciones en un entorno de pruebas o
etapas antes de aplicarlos a los sistemas operacionales;

d) a no ser que sea bajo circunstancias excepcionales, no se deberan realizar pruebas en los sistemas
operativos;
e) los compiladores, editores y otras herramientas de desarrollo o utilidades del sistema no deberan estar
accesibles desde los sistemas operacionales cuando no sea necesario;
f) los usuarios deberan utilizar distintos perfiles de usuario para los sistemas operacionales y de prueba y
se deberan mostrar mens para mostrar mensajes de identificacin adecuados para reducir el riesgo de
errores;
g) los datos sensibles no se deberan copiar en el entorno del sistema de pruebas a menos que se
entreguen controles equivalentes para el sistema de pruebas (ver 14.3).
Otra informacin
Las actividades de desarrollo y pruebas pueden provocar problemas graves, es decir, la modificacin no
deseada de archivos o del entorno del sistema o una falla del sistema. Existe la necesidad de mantener un
entorno conocido y estable en el que se pueden realizar pruebas significativas para evitar el acceso
inadecuado del desarrollador al entorno operacional.
Cuando el personal de desarrollo y pruebas tenga acceso al sistema operativo y a su informacin, podran
introducir un cdigo no autorizado o no probado, o alterar los datos operacionales. En algunos sistemas esta
capacidad se podra utilizar incorrectamente para cometer fraudes o introducir un cdigo sin probar o
malicioso, lo que puede generar problemas operacionales graves.
El personal de desarrollo y pruebas tambin representa una amenaza a la confidencialidad de la informacin

operacional. Las actividades de desarrollo y pruebas pueden provocar cambios no intencionados al software
o la informacin si comparten el mismo entorno computacional. Por lo tanto, se aconseja la separacin de los
entornos desarrollo, de pruebas y operativos para reducir el riesgo de cambios accidentales o del acceso no
autorizado al software operacional y los datos del negocio (ver 14.3 para obtener informacin sobre la
proteccin de los datos de prueba).
12.2 Proteccin contra malware
Objetivo: garantizar que la informacin y que las instalaciones de procesamiento de informacin estn
protegidas contra el malware.
12.2.1 Controles contra el malware
Control
Se deberan implementar controles para la deteccin, prevencin y recuperacin para resguardarse contra el
malware en combinacin con la concientizacin adecuada para los usuarios.
La proteccin contra el malware se debera basar en controles de software de deteccin de malware y de

reparacin, la concientizacin sobre la seguridad de la informacin, el acceso adecuado al sistema y la
administracin de cambios. Se deberan considerar las siguientes pautas:
a) establecer una poltica formal que prohbe el uso de software no autorizado (ver 12.6.2 y 14.2.);
b) implementar controles que evitan o detectan el uso de software no autorizado (es decir, la creacin de
una lista blanca de aplicaciones);
c) implementar controles que eviten o detecten el uso de sitios web desconocidos o que se sospecha son
maliciosos (es decir, la elaboracin de una lista negra).

d) establecimiento de una poltica formal para protegerse contra los riesgos asociados al obtener archivos y
software ya sea de redes externas o a travs de cualquier otro medio, indicando las medidas de
proteccin que se deberan tomar;
e) reduccin de las vulnerabilidades que se podran desencadenar por el malware, es decir, a travs de la
administracin de vulnerabilidades tcnicas (ver 12.6);
f) realizar revisiones peridicas del software y del contenido de los datos de los sistemas que apoyan los
procesos crticos del negocio; se debera investigar formalmente la presencia de cualquier tipo de
archivos o modificaciones no autorizados;
g) instalacin y actualizacin peridica de software de deteccin de malware y reparacin para analizar

computadores y medios como control de precaucin o, de manera rutinaria; el anlisis debera incluir:
1) analizar solo los archivos recibidos a travs de redes o mediante cualquier forma de medios de
almacenamiento, en busca de malware antes de su uso;
2) analizar datos adjuntos de correos electrnicos en busca de malware antes de su uso; este anlisis
se debera realizar en diferentes lugares, es decir, en servidores de correo electrnico, computadores
de escritorio y al ingresar a la red de la organizacin;
3) analizar pginas web en busca de malware;
h) definir procedimientos y responsabilidades que involucren la proteccin contra malware en los sistemas,
capacitndose sobre su uso, informando sobre y recuperndose ante ataques de malware;
i) preparar planes de continuidad comercial adecuados para recuperarse contra ataques de malware,
incluidos todos los datos, respaldo de software y disposiciones de recuperacin necesarios (ver 12.3);
j) implementar procedimientos para recopilar informacin de manera regular, como la suscripcin a listas
de correo electrnico o verificar los sitios web que brindan informacin sobre el nuevo malware;
k) implementar procedimientos para verificar la informacin relacionada al malware y asegurarse de que los
boletines de advertencia son precisos e informativos; los gerentes se deberan asegurar de que se
utilicen fuentes calificadas, es decir, publicaciones de reconocido prestigio, sitios de internet o
proveedores productores de software de proteccin contra malware confiables para diferenciar entre
malware falso y el real; todos los usuarios deberan estar en conocimiento del problema de malware falso
y qu hacer en caso de recibirlo;
l) aislar entornos donde pueden se pueden generar impactos catastrficos.
Otra informacin
El uso de dos o ms productos de software que proteja contra malware en todo el entorno de procesamiento
de informacin de distintos proveedores y tecnologa puede mejorar la efectividad de la proteccin contra el
malware.
Se debera tener cuidado de protegerse contra la introduccin de malware durante los procedimientos de
mantenimiento y de emergencia, los que pueden omitir los controles normales de proteccin contra malware.
Bajo ciertas condiciones, la proteccin contra malware puede provocar interrupciones dentro de las
operaciones.
El uso de software de deteccin y reparacin de malware por s solo para el control del malware
generalmente no resulta adecuado y a menudo se debera acompaar de procedimientos operativos que
eviten la introduccin de malware.

12.3 Respaldo
Objetivo: brindar proteccin contra la prdida de datos.
12.3.1 Respaldo de informacin
Control
Se deberan realizar copias de la informacin, del software y de las imgenes del sistema y se deberan
probar de manera regular de acuerdo con una poltica de respaldo acordada.
Se debera establecer una poltica de respaldo para definir los requisitos de la organizacin para el respaldo
de informacin, del software y de los sistemas.
La poltica de respaldo debera definir los requisitos de retencin y proteccin.
Se debera contar con instalaciones de respaldo adecuadas para garantizar que toda la informacin y el
software esencial se pueden recuperar despus de un desastre y ante una falla de los medios.
Al asignar un plan de respaldo, se deberan considerar los siguientes elementos:
a) se deberan producir registros precisos y completos de las copias de respaldo y procedimientos de

restauracin documentados;
b) el nivel (es decir, respaldo completo o diferencial) y la frecuencia de los respaldos debera reflejar los
requisitos del negocio de la organizacin, los requisitos de seguridad de la informacin involucrada y la
criticidad de la informacin para la operacin continua de la organizacin;
c) los respaldos se deberan almacenar en una ubicacin remota, a una distancia suficiente para evitar
cualquier dao ante desastres en la ubicacin principal;
d) la informacin de respaldo debera tener un nivel de proteccin fsica y ambiental adecuada (ver clusula 11)
de acuerdo con las normas que se aplican en la ubicacin principal;
e) los medios de respaldo se deberan probar de manera regular para garantizar que se puede confiar en
ellos frente a su uso ante emergencias; esto se debera combinar con una prueba de los procedimientos
de restauracin y se debera comprobar contra la restauracin segn sea necesario; esto se debera
combinar con una prueba de los procedimientos de restauracin y se debera verificar contra el tiempo de
restauracin necesario. Se deberan realizar pruebas para probar la habilidad de restaurar los datos de
respaldo en los medios de prueba, no sobrescribiendo los medios originales en caso de que falle el
proceso de respaldo o restauracin y provoque daos o prdidas de los datos;
f) en las situaciones donde la confidencialidad es importante, se deberan proteger los respaldos mediante
el cifrado.
Los procedimientos operacionales deberan monitorear la ejecucin de respaldos y abordar las fallas de los
respaldos programados para garantizar su integridad de acuerdo con la poltica de respaldos.
Se deberan probar regularmente las disposiciones de respaldos para los sistemas individuales a modo de
garantizar que cumplen con los requisitos de los planes de continuidad del negocio. En el caso de los
sistemas y servicios crticos, las disposiciones de respaldo deberan abarcar la informacin de todos los
sistemas, aplicaciones y datos necesarios para recuperar al sistema completo en el caso de un desastre.
Se debera determinar el perodo de retencin de la informacin esencial del negocio, considerando cualquier
tipo de requisito para archivar copias que se deberan retener de manera permanente.

12.4 Registro y monitoreo
Objetivo: registrar eventos y generar evidencia.
12.4.1 Registro de eventos
Control
Se deberan producir, mantener y revisar de manera peridica los registros de eventos del usuario, las
excepciones, las fallas y los eventos de seguridad de la informacin.
Los registros de eventos deberan incluir, cuando corresponda:
a) IDs de usuarios;
b) actividades del sistema;
c) fechas, horas y detalles de los eventos clave, es decir el inicio y la finalizacin de la sesin;
d) la identidad del dispositivo y su ubicacin si es posible, junto con el identificador del sistema;
e) los registros de los intentos de acceso al sistema exitosos y rechazados;
f) los registros de los datos exitosos y rechazados y otros intentos de acceso a los recursos;
g) los cambios a la configuracin del sistema;
h) el uso de privilegios;
i) el uso de utilidades y aplicaciones del sistema;
j) los archivos y el tipo de acceso;
k) las direcciones y protocolos de redes;
l) las alarmas que se activaron con el sistema de control de acceso;
m) la activacin y la desactivacin de los sistemas de proteccin, como los sistemas de antivirus y los
sistemas de deteccin de intrusos;
n) los registros de las transacciones ejecutadas por los usuarios en las aplicaciones.
El registro de eventos establece las bases para los sistemas de monitoreo automatizado que son capaces de
generar informes y alertas consolidadas sobre la seguridad del sistema.
Otra informacin
Los registros de eventos pueden contener datos sensibles e informacin de identificacin personal. Se
deberan tomar medidas de proteccin adecuadas para la privacidad (ver 18.1.4).
Donde sea posible, los administradores del sistema no deberan tener permisos para borrar o desactivar los
registros de sus actividades (ver 12.4.3).

12.4.2 Proteccin del registro de informacin
Control
Las instalaciones de registros y la informacin de registro deberan estar protegidas contra la adulteracin y
el acceso no autorizado.
Los controles deberan apuntar a proteger contra los cambios no autorizados para registrar informacin y
problemas operaciones con la instalacin de registros incluidos:
a) alteraciones a los tipos de mensajes que se registran;
b) archivos de registro editados o eliminados;
c) capacidad de almacenamiento de los medios de archivos de registro que exceden en tamao, lo que
resulta en su incapacidad de registrar eventos o de sobrescribir los eventos registrados anteriores.
Algunos registros de auditora pueden ser necesarios como parte de la poltica de retencin de registros o
debido a los requisitos para recopilar y retener evidencia (ver 16.1.7).
Otra informacin
Los registros del sistema a menudo contienen un gran volumen de informacin, la mayor parte de la cual es
ajena al monitoreo de seguridad de la informacin. Para ayudar a identificar los eventos significativos con
fines de seguridad de informacin, se debera considerar la copia automtica de los tipos de mensajes
adecuados a un segundo registro o el uso de utilidades adecuadas del sistema o bien herramientas de
auditora para realizar la interrogacin y la racionalizacin de archivos.
Se debera proteger a los registros del sistema, pues si se pueden modificar o eliminar sus datos, su
existencia puede crear una falsa sensacin de seguridad. Se puede utilizar el copiado en tiempo real de los
registros a un sistema fuera del control de un administrador u operador del sistema para resguardar los
registros.
12.4.3 Registros del administrador y del operador
Control
Las actividades del administrador y del operador del sistema se deberan registrar y los registros se deberan
proteger y revisar de manera regular.
Los propietarios de cuentas de usuario con privilegios pueden manipular los registros en las instalaciones de
procesamiento de informacin bajo su control directo y, por lo tanto, puede ser necesario proteger y revisar
los registros para mantener la responsabilidad de los usuarios con privilegios.
Otra informacin
Se puede utilizar un sistema de deteccin de intrusin que se administre fuera del control de los
administradores del sistema y de la red para monitorear el cumplimiento de las actividades de administracin
de redes.

12.4.4 Sincronizacin con relojes
Control
Se deberan sincronizar los relojes de todos los sistemas de procesamiento de informacin pertinentes dentro
de una organizacin o de un dominio de seguridad con una fuente de tiempo de referencia nica.
Se deberan documentar los requisitos externos e internos para la representacin, la sincronizacin y la

precisin del tiempo. Dichos requisitos pueden ser legales, normativos, contractuales, de cumplimiento con
normas o para el monitoreo interno. Se debera definir una hora de referencia estndar para utilizar dentro de
la organizacin.
Se debera documentar e implementar el enfoque de la organizacin para obtener una hora de referencia de
fuentes externas y la manera de sincronizar los relojes internos de manera confiable.
Otra informacin
Para corregir la configuracin de los relojes de los computadores es importante garantizar la precisin de los
registros de auditora, que pueden ser necesarios para las investigaciones o como evidencia en casos legales
o disciplinarios. Los registros de auditora imprecisos pueden obstaculizar dichas investigaciones y daar la
credibilidad de dicha evidencia. Se puede utilizar un reloj vinculado a una transmisin de tiempo de radio de
un reloj atmico nacional como el reloj maestro para los sistemas de registro. Se puede utilizar un protocolo
de tiempo para mantener a todos los servidores en sincronizacin con el reloj maestro.
12.5 Control de software operacional
Objetivo: garantizar la integridad de los sistemas operacionales.
12.5.1 Instalacin de software en sistemas operacionales
Control
Se deberan implementar procedimientos para controlar la instalacin de software en sistemas operacionales.
Se deberan considerar las siguientes pautas para controlar los cambios de software en los sistemas
operacionales:
a) la actualizacin del software operacional, las aplicaciones y las bibliotecas de programas solo la deberan
realizar administradores capacitados luego de obtener la autorizacin correspondiente de la direccin
(ver 9.4.5);
b) los sistemas operacionales solo deberan tener un cdigo ejecutable aprobado y no un cdigo de
desarrollo o compiladores;
c) las aplicaciones y el software de sistema operativo solo se debera implementar despus de realizar
pruebas exhaustivas y exitosas; las pruebas deberan cubrir la capacidad de uso, la seguridad, los
efectos en otros sistemas y la facilidad de uso para los usuarios en sistemas independientes (ver 12.1.4);
es necesario asegurarse de que todas las bibliotecas de fuentes de programas correspondientes se han
actualizado;
d) se debera utilizar un sistema de control de configuracin para mantener el control de todo el software
implementado, as como tambin la documentacin del sistema;

e) debera existir una estrategia de reversin antes de que se implementen los cambios;
f) se debera mantener un registro de auditora de todas las actualizaciones a las bibliotecas de programas
operacionales;
g) se deberan retener las versiones anteriores del software de aplicacin como medida de contingencia;
h) se deberan archivar las versiones antiguas de software, junto con toda la informacin, los parmetros,
los procedimientos y los detalles de configuracin necesarios que soportan al software mientras que se
mantienen los datos en el archivo.
Se debera mantener el software suministrado por proveedores que se utiliza en los sistemas operacionales a
un nivel al que preste soporte el operador. Con el tiempo, los proveedores de software dejarn de prestar
soporte a las versiones anteriores de software. La organizacin debera considerar los riesgos de utilizar
software sin soporte.
Cualquier decisin de actualizar a una nueva versin debera considerar los requisitos del negocio para el
cambio y la seguridad de la versin, es decir, la introduccin de nuevas funcionalidades de seguridad de la
informacin o la cantidad y la gravedad de los problemas de seguridad de la versin que afectan a esta
nueva versin. Se deberan aplicar parches de software cuando pueden ayudar a eliminar o reducir las
debilidades de la seguridad de informacin (ver 12.6).
Solo se debera dar acceso fsico o lgico a los proveedores para fines de soporte cuando sea necesario y
con la aprobacin de la direccin. Se deberan monitorear las actividades del proveedor (ver 15.2.1).
El software informtico puede utilizar software y mdulos suministrados de manera externa, los que se
deberan monitorear y controlar para evitar cambios no autorizados y que pueden introducir falencias en la
seguridad.
12.6 Administracin de vulnerabilidades tcnicas
Objetivo: evitar la explotacin de vulnerabilidades tcnicas.
12.6.1 Administracin de vulnerabilidades tcnicas
Control
Se debera obtener la informacin sobre las vulnerabilidades tcnicas de los sistemas de informacin de
manera oportuna; la exposicin de la organizacin a dichas vulnerabilidades se debera evaluar y se deberan
tomar las medidas necesarias para abordar el riesgo asociado.
Un inventario de activos actual y completo (ver clusula 8) es un prerrequisito para la administracin eficaz de
vulnerabilidades tcnicas. La informacin especfica necesaria para apoyar la administracin de
vulnerabilidades tcnicas incluye al proveedor de software, los nmeros de versiones, el estado actual de la
implementacin (es decir, qu software se instala en qu sistemas) y las personas responsables del software
dentro de la organizacin.
Se deberan tomar medidas adecuadas y oportunas en respuesta a la identificacin de las posibles

vulnerabilidades tcnicas. Se deberan seguir los prximos puntos de orientacin para establecer un proceso
de administracin eficaz para las vulnerabilidades tcnicas:
a) la organizacin debera definir y establecer los roles y las responsabilidades asociadas a la

administracin de vulnerabilidades tcnicas, incluido el monitoreo de vulnerabilidades, la evaluacin de
riesgos de vulnerabilidad, los parches, el seguimientos de activos y cualquier tipo de responsabilidades
de coordinacin necesarias;

b) se deberan identificar los recursos de informacin que se utilizarn para identificar las vulnerabilidades
tcnicas pertinentes y para mantener la concientizacin sobre ellas para el software y otras tecnologas
(en base a la lista de inventario de activos, ver 8.1.1); estos recursos de informacin se deberan
actualizar en base a los cambios en el inventario o cuando se encuentran nuevos recursos tiles;
c) se debera definir una lnea de tiempo para reaccionar frente a las notificaciones de vulnerabilidades
tcnicas posiblemente relevantes;
d) una vez que se ha identificado una vulnerabilidad tcnica, la organizacin debera identificar los riesgos
asociados y las medidas que se deberan tomar, dichas medidas podran involucrar la aplicacin de
parches a los sistemas vulnerables o la aplicacin de otros controles;
e) en funcin de la urgencia con la que se deba abordar una vulnerabilidad tcnica, la medida tomada se
debera realizar de acuerdo a los controles relacionados con la administracin de cambios (ver 12.1.2) o
siguiendo los procedimientos de respuesta ante incidentes de seguridad (ver 16.1.5);
f) si existe un parche disponible de una fuente legtima, se deberan evaluar los riesgos asociados a la
instalacin del parche (los riesgos que impone la vulnerabilidad se deberan comparar con el riesgo de
instalar el parche);
g) los parches se pueden evaluar y probar antes de su instalacin para garantizar que son eficaces y no
involucran efectos colaterales que no se pueden tolerar; si no existen parches disponibles se deberan
considerar otros controles como:
1) desactivar todos los servicios o capacidades relacionadas a la vulnerabilidad;
2) adaptar o agregar controles de acceso, es decir, firewalls, en las fronteras de la red (ver 13.1);
3) mayor monitoreo para detectar ataques reales;
4) concientizar sobre la vulnerabilidad;
h) se debera mantener un registro de auditora para todos los procedimientos que se realizan;
i) el proceso de vulnerabilidad tcnica se debera monitorear y evaluar regularmente para poder garantizar
su efectividad y eficiencia;
j) se deberan abordar primero los sistemas en alto riesgo;
k) se debera alinear un proceso de administracin de vulnerabilidades tcnicas eficaz con actividades de

administracin de incidentes para comunicar los datos sobre vulnerabilidades con la funcin de respuesta
ante incidentes y proporcionar los procedimientos tcnicos en caso de que ocurra un incidente;
l) definir un procedimiento para abordar la situacin donde se ha identificado una vulnerabilidad, pero
donde no existe una contramedida. En esta situacin, la organizacin debera evaluar los riesgos
relacionados con la vulnerabilidad conocida y definir las medidas defectivas y correctivas adecuadas.
Otra informacin
La administracin de vulnerabilidades tcnicas se puede ver como una subfuncin de la administracin de

cambios y como tal, puede aprovechar los procesos y procedimientos de administracin de cambios
(ver 12.1.2 y 14.2.2).
Los proveedores a menudo se encuentran bajo gran presin para presentar nuevos parches lo ms pronto
posible. Por lo tanto, existe la posibilidad de que un parche no aborde el problema de manera adecuada y
que presente efectos secundarios negativos. Adems, en algunos casos, la desinstalacin de un parche no
se puede lograr fcilmente una vez que se ha aplicado un parche.

Si no es posible realizar pruebas adecuadas a los parches, es decir, por motivos de costos o falta de
recursos, se puede considerar un retraso en los parches para evaluar los riesgos asociados, en base a la
experiencia informada por otros usuarios. El uso de ISO/IEC 27031 puede ser beneficioso.
12.6.2 Restricciones en la instalacin de software
Control
Se deberan establecer e implementar las reglas que rigen la instalacin de software por parte de los
usuarios.
La organizacin debera definir y poner en vigencia una poltica estricta sobre qu tipo de software pueden
instalar los usuarios.
Se debera aplicar el principio de los menores privilegios. Si se les otorgan ciertos privilegios, es posible que
los usuarios tengan la capacidad de instalar software. La organizacin debera definir qu tipos de
instalaciones de software se permiten (es decir, actualizaciones y parches de seguridad al software existente)
y qu tipos de instalaciones se prohben (es decir, software que es solo para el uso personal y software cuya
categora en cuanto a su posible caracterstica maliciosa es desconocida o sospechosa). Estos privilegios se
deberan otorgar considerando los roles de los usuarios involucrados.
Otra informacin
La instalacin no controlada de software en dispositivos computacionales puede dar pie a la introduccin de

vulnerabilidades y a la fuga de informacin, a la falta de integridad u otros incidentes de seguridad de
informacin o bien a la transgresin de derechos de propiedad intelectual.
12.7 Consideraciones sobre la auditora de los sistemas de informacin
Objetivo: minimizar el impacto de las actividades de auditora en los sistemas operacionales.
12.7.1 Controles de auditora de los sistemas de informacin
Control
Se deberan planificar y acordar los requisitos y las actividades de auditora que involucran la verificacin de
los sistemas operacionales para minimizar las interrupciones a los procesos comerciales.
Se deberan observar las siguientes pautas:
a) se deberan acordar los requisitos de auditora para el acceso a los sistemas y a los datos con la
direccin correspondiente;
b) se debera acordar y controlar el alcance de las pruebas de auditora;
c) las pruebas de auditora se deberan limitar al acceso de solo lectura del software y los datos;
d) el acceso que no sea de solo lectura solo se debera permitir para las copias aisladas de los archivos del
sistema, que se deberan borrar una vez que finaliza la auditora o se les debera otorgar la proteccin
adecuada si existe una obligacin de mantener tales archivos de acuerdo con los requisitos de
documentacin de auditora;
e) se deberan identificar y acordar los requisitos para el procesamiento especial o adicional;

f) las pruebas de auditora que pudieran afectar la disponibilidad del sistema se deberan ejecutar fuera de
las horas laborales;
g) todo el acceso se debera monitorear y registrar para producir un seguimiento de referencia.
13 Seguridad en las comunicaciones
13.1 Administracin de la seguridad de redes
Objetivo: garantizar la proteccin de la informacin en las redes y sus instalaciones de procesamiento de

informacin de apoyo.
13.1.1 Controles de red
Control
Se deberan administrar y controlar las redes para proteger la informacin en los sistemas y aplicaciones.
Se deberan implementar controles para garantizar la seguridad de la informacin en las redes y la proteccin
de los servicios conectados del acceso no autorizado. En particular, se deberan considerar los siguientes
elementos:
a) se deberan establecer las responsabilidades y procedimientos para la administracin de los equipos de

redes;
b) se debera separar la responsabilidad operacional para la redes de las operaciones informticas donde
corresponda (ver 6.1.2);
c) se deberan establecer controles especiales para resguardar la confidencialidad y la integridad de los

datos que se pasan a redes pblicas o a travs de redes inalmbricas y para proteger a los sistemas y
aplicaciones conectados (ver clusula 10 y 13.2); es posible que se requieran controles especiales para
mantener la disponibilidad de los servicios de red y los computadores conectados;
d) se deberan aplicar los registros y monitoreos adecuados para permitir el registro y la deteccin de
acciones que pueden afectar o que son pertinentes a la informacin de seguridad;
e) las actividades de administracin se deberan coordinar de cerca tanto para optimizar el servicio a la
organizacin como para garantizar que los controles se aplican de manera coherente a travs de toda la
infraestructura de procesamiento;
f) se deberan autenticar los sistemas de la red;
g) se debera restringir la conexin de los sistemas a la red.
Otra informacin
Puede encontrar informacin adicional sobre la seguridad de las redes en ISO/IEC 27033.

13.1.2 Seguridad de los servicios de redes
Control
Se deberan identificar e incluir en los acuerdos de servicio los mecanismos de seguridad, los niveles de
servicios y los requisitos de administracin de todos los servicios de redes, ya sea que estos servicios se
entreguen de manera interna o se externalicen.
Se debera determinar y monitorear de manera regular la capacidad del proveedor de servicios de red para
administrar los servicios de manera segura y, se debera acordar el derecho a la auditora.
Se deberan identificar las disposiciones de seguridad necesarias para ciertos servicios, como las funciones
de seguridad, los niveles de servicio y los requisitos de administracin. La organizacin debera garantizar
que los proveedores de servicios de red implementen estas medidas.
Otra informacin
Los servicios de red incluyen la provisin de conexiones, servicios de redes privadas y redes con valor
agregado y, soluciones de seguridad de redes administradas como firewalls y sistemas de deteccin de
intrusin. Estos servicios abarcan desde la banda ancha no administrada simple a las ofertas complejas con
valor agregado.
Las funciones de seguridad de los servicios de red pueden ser:
a) con aplicacin de tecnologa para la seguridad de los servicios de redes, como la autenticacin, el cifrado
y los controles de conexin de redes;
b) parmetros tcnicos necesarios para la conexin segura con los servicios de red de acuerdo con la
seguridad y las reglas de conexin de redes;
c) los procedimientos para el uso de servicios de redes para restringir el acceso a los servicios de red o
aplicaciones, donde corresponda;
13.1.3 Segregacin en las redes
Control
Se deberan segregar los grupos de servicios de informacin, usuarios y sistemas de informacin en las redes.
Un mtodo para administrar la seguridad de redes de gran tamao es dividirlas en distintos dominios de red.
Los dominios se pueden seleccionar en base a niveles de confianza (es decir, dominio de acceso pblico,
dominio de escritorio, dominio de servidor), junto con unidades organizacionales (es decir, recursos humanos,
finanzas, marketing) o alguna combinacin (es decir, el dominio del servidor que se conecta a varias
unidades organizacionales). La segregacin se puede realizar mediante redes con diferencias fsicas o
mediante el uso de distintas redes lgicas (es decir, conexin de redes privadas virtuales).
Se debera definir correctamente el permetro de cada dominio. Se permite el acceso entre dominios de red,
pero se debera controlar en el permetro mediante una puerta de enlace (es decir, firewall, enrutador de
filtrado). Los criterios para la segregacin de redes en los dominios y el acceso que se permite a travs de las
puertas de enlace se deberan basar en una evaluacin de los requisitos de seguridad de cada dominio. La
evaluacin se debera realizar de acuerdo a la poltica de control de acceso (ver 9.1.1), los requisitos de
acceso, el valor y la clasificacin de la informacin procesada y tambin se debera considerar el costo
relativo y el impacto en el rendimiento al incorporar tecnologa de puerta de enlace adecuada.

Las redes inalmbricas requieren un tratamiento especial debido al permetro de red definido
deficientemente. Para los entornos sensibles, se debera tener consideracin de tratar a todos los accesos
inalmbricos como conexiones externas y segregar este acceso desde las redes internas hasta que el acceso
haya pasado a travs de una puerta de enlace de acuerdo con la poltica de controles de red (ver 13.1.1)
antes de otorgar acceso a los sistemas internos.
Las tecnologas de autenticacin, cifrado y de control de acceso a redes de nivel de usuario de las redes
moderas y basadas en normas inalmbricas puede ser suficiente para dirigir la conexin a la red interna de la
organizacin cuando se implementen adecuadamente.
Otra informacin
Las redes a menudo se extienden ms all de los lmites organizacionales, debido a que se forman
sociedades comerciales que requieren la interconexin o que comparten la informacin de instalaciones de
redes y procesamiento de informacin. Tales extensiones pueden aumentar el riesgo del acceso no
autorizado a los sistemas de informacin de la organizacin que utilizan la red, algunos de los cuales
requieren proteccin de otros usuarios de red debido a su sensibilidad o criticidad.
13.2 Transferencia de informacin
Objetivo: mantener la seguridad de la informacin transferida dentro de una organizacin y con cualquier
entidad externa.
13.2.1 Polticas y procedimientos sobre la transferencia de informacin
Control
Deberan existir polticas, procedimientos y controles formales de transferencia para proteger la transferencia
de informacin a travs del uso de todo tipo de instalaciones de comunicacin.
Los procedimientos y controles que se deberan seguir al utilizar instalaciones de comunicacin para la
transferencia de informacin deberan considerar los siguientes elementos:
a) procedimientos diseados para proteger la informacin transferida de la intercepcin, la copia, la

modificacin, el ruteo incorrecto y la destruccin;
b) los procedimientos para la deteccin y proteccin contra el malware que se pueden transmitir a travs del
uso de comunicaciones electrnicas (ver 12.2.1);
c) los procedimientos para proteger la informacin electrnica sensible comunicada en forma de elemento
adjunto;
d) la poltica o las pautas que describen el uso aceptable de las instalaciones de comunicacin (ver 8.1.3);
e) que el personal, las partes externas y cualquier otra responsabilidad del usuario no comprometa a la
organizacin, es decir, a travs de la difamacin, el acoso, la imitacin, reenvo de cartas de cadena,
compra no autorizada, etc.;
f) uso de tcnicas criptogrficas, es decir, para proteger la confidencialidad, la integridad y la autenticidad

de la informacin (ver clusula 10);
g) retencin y eliminacin de pautas para toda la correspondencia comercial, incluidos los mensajes, de
acuerdo con las normativas y a la legislacin local y nacional pertinentes;

h) los controles y las restricciones asociados al uso de instalaciones de comunicacin, es decir, el reenvo
automtico de correos electrnico a direcciones de correo externas;
i) asesorar al personal para tomar las precauciones correspondientes para no revelar informacin
confidencial.
j) no dejar mensajes que contienen informacin confidencial en mquinas contestadores debido a que
personas no autorizadas pueden volver a reproducir los mensajes, se pueden almacenar en sistemas
comunales o almacenar incorrectamente como consecuencia de una mala manipulacin;
k) informar al personal sobre los problemas del uso de mquinas o servicios de fax, a saber:
1) el acceso no autorizado a tiendas de mensajes incorporadas para recuperar mensajes;
2) programacin deliberada o accidental de mquinas para enviar mensajes a nmeros especficos;
3) envo de documentos y mensajes al nmero incorrecto ya sea por un error en la marcacin o el uso
del nmero almacenado incorrecto.
Adems, se debera recordar al personal que no deberan sostener conversaciones confidenciales en lugares
pblicos o a travs de canales de comunicacin, oficinas abiertas y lugares de encuentro inseguros.
Los servicios de transferencia de informacin deberan cumplir con cualquier tipo de requisitos legales
(ver 18.1).
Otra informacin
La transferencia de informacin puede ocurrir a travs del uso de varios tipos distintos de instalaciones de
comunicacin, incluido el correo electrnico, de voz, fax y video.
La transferencia de software puede ocurrir a travs de varios medios distintos, incluida la descarga de
internet y la adquisicin de proveedores que venden los productos listos para usar.
Se deberan considerar las implicaciones comerciales, legales y de seguridad asociada al intercambio de

datos electrnico, el comercio electrnico y las comunicaciones electrnicas y los requisitos para los
controles.
13.2.2 Acuerdos sobre la transferencia de informacin
Control
Los acuerdos deberan abordar la transferencia segura de informacin comercial entre la organizacin y las
partes externas.
Los acuerdos de transferencia de informacin deberan incorporar lo siguiente:
a) administracin de responsabilidades para controlar y notificar la transmisin, el despacho y la recepcin;
b) procedimientos para garantizar la capacidad de seguimiento y no repudiacin;
c) normas tcnicas mnimas para el empaque y la transmisin;
d) acuerdos de garanta en depsito;
e) normas de identificacin de courier;

f) responsabilidades en caso de incidentes de seguridad de la informacin, como la prdida de datos;
g) uso de un sistema de etiquetado acordado para la informacin sensible o crtica, que garantice que el
significado de las etiquetas se comprenda inmediatamente y que la informacin se proteja
adecuadamente (ver 8.2);
h) normas tcnicas para registrar y leer la informacin y software;
i) cualquier control especial necesario para proteger elementos sensibles, como criptografa (ver clusula 10);
j) mantener una cadena de custodia para la informacin durante el trnsito;
k) niveles aceptables de control de acceso.
Se deberan establecer y mantener polticas, procedimientos y normas para proteger la informacin y los
medios fsicos en trnsito (ver 8.3.3) y se debera hacer referencias a ellos en tales acuerdos de
transferencia.
El contenido de informacin de seguridad de cualquier acuerdo debera reflejar la sensibilidad de la

informacin comercial involucrada.
Otra informacin
Los acuerdos pueden ser electrnicos o manuales y pueden tomar la forma de contratos formales. Para la
informacin confidencial, los mecanismos que se utilizan para la transferencia de dicha informacin deberan
ser coherentes para todas las organizaciones y tipos de acuerdos.
13.2.3 Mensajera electrnica
Control
Se debera proteger correctamente la informacin involucrada en la mensajera electrnica.
Las consideraciones de seguridad de la informacin para la mensajera electrnica debera incluir lo

siguiente:
a) proteger a los mensajes del acceso no autorizado, de la modificacin o negacin de servicio de acuerdo
con el esquema de clasificacin adoptado por la organizacin;
b) garantizar la direccin y el transporte correcto del mensaje;
c) confiabilidad y disponibilidad del servicio;
d) consideraciones legales, por ejemplo, los requisitos de firmas electrnicas;
e) obtener la aprobacin antes del uso de servicios pblicos externos como la mensajera instantnea, las
redes sociales o el compartir archivos;
f) niveles ms fuertes de acceso para el control de la autenticacin desde redes de acceso pblico.

Otra informacin
Existen varios tipos de mensajera electrnica como el correo electrnico, el intercambio de datos electrnico
y las redes sociales, que desempean una funcin en las comunicaciones comerciales.
13.2.4 Confidencialidad de los acuerdos de no divulgacin
Control
Los requisitos para los acuerdos de confidencialidad y no divulgacin que reflejan las necesidades de la
organizacin para la proteccin de informacin se deberan identificar, revisar y documentar de manera
regular.
La confidencialidad de los acuerdos de no divulgacin deberan abordar el requisito para proteger la

informacin confidencial mediante trminos que se pueden hacer cumplir legalmente. Los acuerdos de
confidencialidad o no divulgacin se aplican a las partes externas o a los empleados de la organizacin. Se
deberan seleccionar o agregar elementos considerando el tipo de la otra parte y el acceso que se le permite
o el manejo de la informacin confidencial. Se deberan considerar los siguientes elementos para identificar
los requisitos de confidencialidad o para los acuerdos de no divulgacin:
a) una definicin de la informacin que se proteger (es decir, informacin confidencial);
b) duracin esperada de un acuerdo, incluidos los casos donde es posible que sea necesario mantener la
confidencialidad de manera indefinida;
c) acciones necesarias al terminar un acuerdo;
d) responsabilidades y acciones de los firmantes para evitar la divulgacin de informacin no autorizada;
e) propiedad de la informacin, secretos comerciales y propiedad intelectual y cmo esto se relaciona con la
proteccin de informacin confidencial;
f) el uso permitido de la informacin confidencial y los derechos del firmante para utilizar la informacin;
g) el derecho para auditar y monitorear actividades que involucran informacin confidencial;
h) el proceso para notificar e informar la divulgacin no autorizada o la fuga de informacin confidencial;
i) trminos para la informacin que se va a regresar o destruir al trmino del acuerdo;
j) medidas esperadas que se tomarn en caso de un incumplimiento del acuerdo.
En base a los requisitos de seguridad de la informacin de la organizacin, es posible que se deban incluir
otros elementos en un acuerdo de confidencialidad o de no divulgacin.
Los acuerdos de confidencialidad y no divulgacin deberan cumplir con todas las leyes y normativas
pertinentes para la jurisdiccin a la que corresponden (ver 18.1).
Se deberan revisar peridicamente los requisitos de los acuerdos de confidencialidad y no divulgacin y

cuando ocurran cambios que tengan una influencia en estos requisitos.

Otra informacin
Los acuerdos de confidencialidad y de no divulgacin protegen a la informacin organizacional e informan a

los firmantes sobre su responsabilidad de proteger, utilizar y divulgar la informacin de manera responsable y
autorizada.
Es posible que una organizacin deba utilizar distintas formas de acuerdos de confidencialidad o no
divulgacin en distintas circunstancias.
14 Adquisicin, desarrollo y mantenimiento de sistemas

14.1 Requisitos de seguridad de los sistemas de informacin
Objetivo: garantizar que la seguridad de la informacin sea una parte integral de los sistemas de informacin
en todo el ciclo de vida. Esto tambin incluye los requisitos para los sistemas de informacin que
proporcionan servicios en redes pblicas.
14.1.1 Anlisis y especificacin de los requisitos de seguridad de la informacin
Control
Los requisitos relacionados con la seguridad de la informacin se deberan incluir en los requisitos para los
nuevos sistemas de informacin o en las mejoras a los sistemas de informacin existentes.
Los requisitos de seguridad de la informacin se deberan identificar utilizando diversos mtodos como la
derivacin de requisitos de cumplimiento de polticas y normativas, modelamiento de amenazas, revisiones
de incidentes o el uso de umbrales de vulnerabilidad. Se deberan documentar los resultados de la
identificacin y los deberan revisar todas las partes interesadas.
Los requisitos y controles de seguridad de la informacin reflejan el valor comercial de la informacin

involucrada (ver 8.2) y el posible impacto negativo para el negocio que se puede generar por la falta de
seguridad adecuada.
La identificacin y la administracin de los requisitos de seguridad de la informacin y los procesos asociados

se deberan integrar en las primeras etapas de los proyectos de sistemas de informacin. Una consideracin
anticipada de los requisitos de seguridad de la informacin, es decir, en la etapa de diseo puede llevar a
soluciones ms eficaces y econmicas.
Los requisitos de seguridad en la informacin tambin deberan considerar:
a) el nivel de confianza que se requiere en cuanto a la identidad que afirman tener los usuarios, para poder
derivar los requisitos de autenticacin de usuarios;
b) acceso a los procesos de provisin y autorizacin, para los usuarios del negocio, as como tambin para
los usuarios con privilegios o tcnicos;
c) informar a los usuarios y operadores de sus deberes y responsabilidades tcnicas;
d) las necesidades de proteccin que requieren los activos involucrados, en particular, en cuanto a la
disponibilidad, la confidencialidad y la integridad;
e) los requisitos que derivan de los procesos comerciales, como el registro y el monitoreo de transacciones,
los requisitos de no repudio;
f) los requisitos impuestos por otros controles de seguridad, es decir, las interfaces al registro y monitoreo o
los sistemas de deteccin de fugas de datos.

Para las aplicaciones que brindan servicios a travs de redes pblicas o que implementan transacciones, se
deberan considerar los controles dedicados 14.1.2 y 14.1.3.
Si se adquieren productos, se debera seguir un proceso de pruebas y adquisiciones formal. Los contratos
con el proveedor deberan abordar los requisitos de seguridad identificados.
Cuando la funcionalidad de seguridad en un producto propuesto no satisfaga el requisito especfico, se

deberan reconsiderar tanto el riesgo introducido como los controles asociados antes de adquirir el producto.
Se debera evaluar e implementar la orientacin disponible para la configuracin de seguridad del producto
en lnea con el software final / pila de servicio de ese sistema.
Se deberan definir los criterios para aceptar productos, es decir, en trminos de su funcionalidad, lo que dar
la seguridad de que se cumplen los requisitos de seguridad identificados. Se deberan evaluar los productos
contra estos criterios antes de la adquisicin. Se debera revisar la funcionalidad adicional para garantizar
que no introduce riesgos adicionales inaceptables.
Otra informacin
Las normas ISO/IEC 27005 e ISO 31000 brindan orientacin sobre el uso de procesos de administracin de
riesgos para identificar los controles para cumplir con los requisitos de seguridad de la informacin.
14.1.2 Proteccin de servicios de aplicacin en redes pblicas
Control
La informacin involucrada en los servicios de aplicacin que pasan a travs de redes pblicas se deberan
proteger contra la actividad fraudulenta, la disputa de contratos y la informacin y modificacin no autorizada.
Las consideraciones de seguridad de la informacin para los servicios de aplicacin que pasan a travs de
redes pblicas deberan incluir lo siguiente:
a) el nivel de confianza que requiere cada parte sobre la identidad manifestada de la otra, es decir, a travs
de la autenticacin;
b) procesos de autorizacin asociados a las personas que pudieran aprobar los contenidos de, emitir o
firmar documentos de transacciones clave.
c) garantizar que todos los socios en la comunicacin estn completamente informados de sus
autorizaciones de la provisin o el uso del servicio;
d) determinar y cumplir con los requisitos de confidencialidad, integridad, prueba de despacho y recepcin
de documentos clave y el no repudio de contratos, es decir, asociados con los procesos de licitacin y
contratos;
e) el nivel de confianza que se requiere en la integridad de documentos clave;
f) los requisitos de proteccin de cualquier tipo de informacin confidencial;
g) la confidencialidad y la integridad de cualquier transaccin de rdenes, informacin de pago, detalles de

la direccin de envo y la confirmacin de los recibos;
h) el grado de verificacin adecuado para verificar la informacin de pago proporcionada por un cliente;
i) seleccin del acuerdo ms adecuado de forma de pago para protegerse contra los fraudes;

j) el nivel de proteccin necesario para mantener la confidencialidad y la integridad de la informacin de la

orden;
k) evitar la prdida o duplicacin de la informacin de transaccin;
l) responsabilidad asociada con cualquier tipo de transacciones fraudulentas;
m) requisitos de seguros.
Muchas de las consideraciones anteriores se pueden abordar con la aplicacin de controles criptogrficos
(ver clusula 10), considerando el cumplimiento con los requisitos legales (ver clusula 18 y especialmente
18.1.5 para obtener ms informacin sobre la legislacin de la criptografa).
Las disposiciones de servicio de aplicaciones entre socios se deberan respaldar con un acuerdo
documentado que comprometa a ambas partes a los trminos de servicios acordados, incluidos los detalles
de autorizacin [ver letra b)] de arriba).
Se deberan considerar los requisitos de resiliencia contra ataques, los que pueden incluir los requisitos para
la proteccin de los servidores de aplicaciones involucrados o garantizar la disponibilidad de las
interconexiones de redes necesarias para entregar el servicio.
Otra informacin
Las aplicaciones a las que se puede acceder a travs de redes pblicas estn sujetas a una amplia gama de
amenazas relacionadas con la red, como actividades fraudulentas, disputas de contrato o divulgacin de la
informacin al pblico. Por lo tanto, las evaluaciones de riesgo detalladas y la seleccin adecuada de los
controles son indispensables. Los controles necesarios a menudo incluyen mtodos criptogrficos para la
autenticacin y la proteccin de la transferencia de datos.
Los servicios de aplicaciones pueden utilizar mtodos de autenticacin seguros, es decir, utilizando
criptografa de clave pblica y firmas digitales (ver clusula 10) para reducir los riesgos. Adems, se pueden
utilizar terceros de confianza, cuando dichos servicios sean necesarios.
14.1.3 Proteccin de transacciones de servicios de aplicacin
Control
La informacin involucrada en las transacciones de servicios de aplicacin se debera proteger para evitar la
transmisin incompleta, el enrutamiento incorrecto, la alteracin no autorizada de mensajes, la divulgacin no
autorizada, la duplicacin no autorizada de mensajes o su reproduccin.
Las consideraciones de seguridad de la informacin para las transacciones de servicios de aplicacin

deberan incluir lo siguiente:
a) el uso de firmas electrnicas por parte de cada parte involucrada en la transaccin;
b) todos los aspectos de la transaccin, es decir, garantizando que:
1) que la informacin de autenticacin secreta del usuario de todas las partes sea vlida y que se
verifique;
2) la transaccin permanezca como confidencial;
3) se retenga la privacidad asociada con todas las partes involucradas;

c) la ruta de comunicaciones entre todas las partes involucradas est cifrada;
d) los protocolos que se utilizan para comunicarse entre todas las partes involucradas estn protegidos;
e) garantizar que el almacenamiento de los detalles de la transaccin se ubique detrs de cualquier entorno
de acceso pblico, es decir, en una plataforma de almacenamiento que existe en la intranet
organizacional y que no se retenga ni se exponga en un medio de almacenamiento al que se pueda
acceder directamente desde internet;
f) donde se utilice una autoridad confiable (es decir, para propsitos de emitir y mantener firmas digitales o
certificados digitales) la seguridad se integre en todo el proceso de administracin de certificado/firma
descentralizado.
Otra informacin
El alcance de los controles adoptados se deberan conmensurar con el nivel de riesgo asociado a cada forma
de transaccin de servicio de aplicacin.
Es posible que las transacciones deban cumplir con requisitos legales y normativos en la jurisdiccin desde
donde se genera, procesa, completa o almacena la transaccin.
14.2 Seguridad en los procesos de desarrollo y soporte
Objetivo: garantizar que la seguridad de la informacin se disee e implemente dentro del ciclo de vida de
desarrollo de los sistemas de informacin.
14.2.1 Poltica de desarrollo seguro
Control
Se deberan establecer reglas para el desarrollo de software y sistemas y, se deberan aplicar a los
desarrollos dentro de la organizacin.
El desarrollo seguro es un requisito para generar un servicio, arquitectura, software y sistema seguro. Dentro
de una poltica de desarrollo seguro se deberan considerar los siguientes aspectos:
a) seguridad del entorno de desarrollo;
b) orientacin sobre la seguridad del ciclo de vida del desarrollo de software:
1) seguridad en la metodologa de desarrollo de software;
2) pautas de codificacin segura para cada lenguaje de programacin que se utiliza;
a) requisitos de seguridad en la fase de diseo;
b) puntos de verificacin de seguridad dentro de los hitos del proyecto;
c) repositorios seguros;
d) seguridad en el control de la versin;
e) conocimiento de seguridad de aplicacin necesario;
f) capacidad de los desarrolladores de evitar, encontrar y solucionar la vulnerabilidad.

Se deberan utilizar tcnicas de programacin seguras tanto para los desarrollos nuevos como en las
situaciones de reutilizacin de cdigos donde es posible que no se conozcan las normas que se aplican al
desarrollo o donde no sean coherentes con las buenas prcticas actuales. Se deberan considerar las normas
de codificacin y, donde corresponda, se debera obligar su uso. Se debera capacitar a los desarrolladores
en su uso y pruebas y se debera verificar su uso mediante una revisin de cdigos.
Si se externaliza el desarrollo, la organizacin debera obtener la garanta de que la parte externa cumple con
estas reglas para el desarrollo seguro (ver 14.2.7).
Otra informacin
El desarrollo tambin se puede realizar dentro de aplicaciones como aplicaciones de oficina, programacin,
navegadores y bases de datos.
14.2.2 Procedimientos de control de cambios del sistema
Control
Los cambios a los sistemas dentro del ciclo de vida de desarrollo se deberan controlar mediante el uso de
procedimientos de control de cambios formales.
Los procedimientos de control de cambios formales se deberan documentar para garantizar la integridad del
sistema, las aplicaciones y productos, desde las primeras etapas del diseo a travs de todos los esfuerzos
de mantenimiento posteriores.
La introduccin de nuevos sistemas y cambios importantes a los sistemas existentes debera seguir un
proceso formal de documentacin, especificacin, pruebas, control de calidad e implementacin
administrada.
El proceso debera incluir una evaluacin de riesgos, un anlisis de los impactos de los cambios y la
especificacin de los controles de seguridad necesarios. Este proceso adems de garantizar que no se vean
comprometidos los procedimientos de seguridad y control, que los programadores de soporte cuenten con
acceso solo para las partes del sistema necesarias para su trabajo y que se obtenga el acuerdo y la
aprobacin formal para cualquier cambio.
Donde sea factible, se deberan integrar los procedimientos de control de cambios de aplicacin y
operacionales (ver 12.1.2). Los procedimientos de control de cambios deberan incluir, pero sin limitarse a:
a) mantenimiento de un registro de niveles de autorizacin acordados;
b) garantizar que los cambios los emiten los usuarios autorizados;
c) revisar los procedimientos de control e integridad para garantizar que no se vern comprometidos por los
cambios;
d) identificacin de todo el software, la informacin, las entidades de la base de datos y el hardware que
requiere modificaciones;
e) identificacin y verificacin del cdigo crtico de seguridad para minimizar la probabilidad de debilidad de
seguridad conocidas;
f) obtencin de una aprobacin formal para las propuestas detalladas antes de que comience el trabajo;
g) asegurarse de que los usuarios autorizados acepten los cambios antes de la implementacin;

h) asegurarse de que la documentacin establecida del sistema se actualice al finalizar cada cambio y que
la documentacin antigua se archive o elimine;
i) mantener un control de versin para todas las actualizaciones de software;
j) mantener un seguimiento de auditora de todas las solicitudes de cambio;
k) asegurarse de que la documentacin operativa (ver 12.1.1) y los procedimientos se cambien segn sea
necesario para seguir siendo adecuados;
l) asegurarse de que la implementacin de cambios se realice en el momento adecuado y que no

interrumpa los procesos comerciales involucrados.
Otra informacin
El cambio de software puede generar un impacto en el entorno operacional y viceversa.
Las buenas prcticas incluyen las pruebas de nuevo software en un entorno segregado de los entornos de
produccin y desarrollo (ver 12.1.4). Esto brinda una forma de tener control del nuevo software y permite una
proteccin adicional de la informacin operacional que se utiliza para fines de pruebas. Esto debera incluir
parches, paquetes de servicio y otras actualizaciones.
Donde se consideren actualizaciones automticas, se debera medir el riesgo a la integridad y a la

disponibilidad del sistema contra el beneficio de la implementacin rpida de actualizaciones. Las
actualizaciones automticas no se deberan utilizar en sistemas crticos, pues algunas actualizaciones
pueden hacer que las aplicaciones crticas fallen.
14.2.3 Revisin tcnica de las aplicaciones despus de los cambios en la plataforma operativa
Control
Cuando se cambian las plataformas operativas, las aplicaciones crticas para el negocio se deberan revisar y
probar para asegurarse de que no se ha generado un impacto adverso en las operaciones o en la seguridad
de la organizacin.
Este proceso debera cubrir:
a) revisin de los procedimientos de control e integridad de aplicaciones para garantizar que no se vern
comprometidos por los cambios en la plataforma operativa;
b) asegurarse de que se entregue una notificacin de los cambios en la plataforma operativa a tiempo para
permitir que se realicen las pruebas y revisiones correspondientes antes de la implementacin.
c) asegurarse de que se realicen los cambios adecuados a los planes de continuidad comercial
(ver clusula 17).
Otra informacin
Las plataformas operativas incluyen sistemas operativos, bases de datos y plataformas middleware. El
control tambin se debera aplicar a los cambios de aplicaciones.

14.2.4 Restricciones a los cambios de paquetes de software
Control
Se deberan desalentar las modificaciones a los paquetes de software, limitndose a los cambios necesarios
y todos los cambios se deberan controlar estrictamente.
En lo posible y mientras sea factible, se deban utilizar los paquetes de software proporcionados por
proveedores sin modificaciones. Cuando sea necesario modificar un paquete de software se deberan
considerar los siguientes puntos:
a) el riesgo de controles integrados y los procesos de integridad comprometidos;
b) si se debera obtener el consentimiento del proveedor;
c) la posibilidad de obtener los cambios necesarios del proveedor como actualizaciones estndar de
programas;
d) el impacto si la organizacin se hace responsable del mantenimiento futuro del software como resultado
de los cambios;
e) compatibilidad con otro software en uso.
Si los cambios son necesarios se debera retener el software original y los cambios se deberan aplicar a una
copia asignada. Se debera implementar un proceso de administracin de actualizaciones para garantizar que
se instalan los parches aprobados ms recientes y las actualizaciones de aplicaciones para todo el software
autorizado (ver 12.6.1). Todos los cambios se deberan probar y documentar completamente, de modo que
se puedan volver a aplicar, en caso de ser necesario, a futuras actualizaciones de software. En caso de ser
necesario las modificaciones de deberan probar y validar con una entidad de evaluacin independiente.
14.2.5 Principios de ingeniera segura del sistema
Control
Se deberan establecer, documentar, mantener y aplicar los principios para la ingeniera de sistemas seguros
para cualquier labor de implementacin del sistema de informacin.
Se deberan establecer, documentar y aplicar los procedimientos de ingeniera de sistemas de informacin

segura en base a los principios de ingeniera de seguridad a las actividades de ingeniera del sistema de
informacin interno. La seguridad se debera disear en todos los niveles de la arquitectura (negocios, datos,
aplicaciones y tecnologa) equilibrando la necesidad de la seguridad de la informacin con la necesidad de la
accesibilidad. Se debera analizar la tecnologa nueva para conocer sus riesgos de seguridad y el diseo se
debera revisar contra los patrones de ataque conocidos.
Estos principios y los procedimientos de ingeniera establecidos se deberan revisar de manera regular para
asegurarse de que contribuyen de manera eficaz a las normas de seguridad mejoradas dentro del proceso de
ingeniera.
Tambin se deberan revisar de manera regular para asegurarse de que permanecen vigentes en cuanto al
combate contra cualquier posible amenaza y que sigan siendo aplicables a los avances de las tecnologas y
soluciones que se estn aplicando.

Se deberan aplicar los principios de ingeniera de seguridad establecidos, donde corresponda, a los sistemas
de informacin externalizados a travs de contratos y otros acuerdos vinculantes entre la organizacin y el
proveedor a quien la organizacin externaliza el servicio. La organizacin debera confirmar que el rigor de
los principios de ingeniera de seguridad del proveedor es comparable con el propio.
Otra informacin
Los procedimientos de desarrollo de aplicaciones deberan aplicar tcnicas de ingeniera seguras en el

desarrollo de aplicaciones que tienen interfaces de entrada y salida. Las tcnicas de ingeniera segura
brindan orientacin sobre las tcnicas de autenticacin de usuario, control y validacin de datos de sesin
seguros, sanitizacin y eliminacin de cdigos de depuracin.
14.2.6 Entorno de desarrollo seguro
Control
Las organizaciones deberan establecer y proteger adecuadamente a los entornos de desarrollo seguros para
las labores de desarrollo e integracin de sistemas que abarcan todo el ciclo de vida de desarrollo del
sistema.
Un entorno de desarrollo seguro incluye a las personas, procesos y tecnologas asociadas con el desarrollo e
integracin de sistemas.
Las organizaciones deberan evaluar los riesgos asociados con las labores de desarrollo de sistemas
individuales y establecer entornos de desarrollo seguro para labores de desarrollo del sistema especficas,
considerando:
a) la sensibilidad de los datos que el sistema procesar, almacenar y transmitir;
b) los requisitos externos e internos correspondientes, es decir, de las normativas o polticas;
c) controles de seguridad que ya ha implementado la organizacin y que soportan el desarrollo del sistema;
d) confiabilidad del personal que trabaja en el entorno (ver 7.1.1);
e) el grado de externalizacin asociado al desarrollo del sistema;
f) la necesidad de contar con segregacin entre distintos entornos de desarrollo;
g) control del acceso al entorno de desarrollo;
h) monitoreo del cambio al entorno y al cdigo que ah se almacena;
i) que los respaldos se almacenen en ubicaciones fuera del sitio;
j) control sobre el movimiento de datos desde y hacia el entorno.
Una vez que se ha determinado el nivel de proteccin para un entorno de desarrollo especfico, las
organizaciones deberan documentar los procesos correspondientes en los procedimientos de desarrollo
seguro y proporcionarlos a todas las personas que los necesiten.

14.2.7 Desarrollo externalizado
Control
La organizacin debera supervisar y monitorear la actividad del desarrollo externalizado del sistema.
Donde se externalice el desarrollo del sistema, se deberan considerar los siguientes puntos en toda la
cadena de suministro de la organizacin:
a) disposiciones de licenciamiento, derechos de propiedad de cdigo y de propiedad intelectual

relacionados al contenido externalizado (ver 18.1.2);
b) los requisitos contractuales para el diseo, la codificacin y las prcticas de pruebas seguras (ver 14.2.1);
c) provisin del modelo de amenazas aprobado para el desarrollador externo;
d) prueba de aceptacin de la calidad y precisin de los entregables;
e) provisin de evidencia de que se utilizaron umbrales de seguridad para establecer niveles aceptables
mnimos de seguridad y calidad de la privacidad;
f) provisin de evidencia de que se ha aplicado una cantidad suficiente de pruebas para protegerse contra
la ausencia intencional y no intencional de contenido malicioso despus de la entrega;
g) provisin de evidencia de que se han aplicado pruebas suficientes para protegerse contra la presencia de
vulnerabilidades conocidas;
h) disposiciones de garanta en depsito, es decir, que el cdigo de fuente ya no est disponible;
i) el derecho contractual para auditar procesos y controles de desarrollo;
j) documentacin eficaz sobre el entorno de desarrollo utilizado para crear los entregables;
k) la organizacin sigue siendo responsable del cumplimiento con las leyes pertinentes y la verificacin de
la eficiencia del control.
Otra informacin
Puede encontrar informacin adicional sobre las relaciones con proveedores en ISO/IEC 27036.
14.2.8 Pruebas de seguridad del sistema
Control
Las pruebas de la funcionalidad de seguridad se deberan realizar durante el desarrollo.
Los sistemas nuevos y actualizados se deberan someter a pruebas y verificaciones exhaustivas durante los
procesos de desarrollo, incluida la preparacin de un programa de actividades detallado y entradas de
pruebas y los resultados esperados bajo una variedad de condiciones. Para los desarrollos internos, dichas
pruebas las debera realizar inicialmente el equipo de desarrollo. Las pruebas de aceptacin independientes
se deberan realizar (tanto para los desarrollos internos y externalizados) para garantizar que el sistema
funciona segn se espera y solo como se espera (ver 14.1.1 y 14.1.9). El alcance de las pruebas debera ser
en proporcin a la importancia y naturaleza del sistema.

14.2.9 Pruebas de aceptacin del sistema
Control
Se deberan establecer programas de pruebas de aceptacin y criterios relacionados para los nuevos
sistemas de informacin, actualizaciones y nuevas versiones.
Las pruebas de aceptacin del sistema deberan incluir las pruebas de los requisitos de seguridad de la
informacin (ver 14.1.1 y 14.1.2) y la adherencia a las prcticas de desarrollo del sistema seguro (ver 14.2.1).
Las pruebas tambin se deberan realizar en los componentes y sistemas integrados recibidos. Las
organizaciones pueden aprovechar las herramientas automatizadas, como las herramientas de anlisis de
cdigos o los escneres de vulnerabilidad y debera verificar la remediacin de los defectos relacionados con
la seguridad.
Las pruebas se deberan realizar en un entorno de pruebas realista para garantizar que el sistema no
introducir vulnerabilidades al entorno de la organizacin y que las pruebas sean confiables.
14.3 Datos de pruebas
Objetivo: garantizar la proteccin de los datos que se utilizan para las pruebas.
14.3.1 Proteccin de los datos de pruebas
Control
Los datos de pruebas se deberan seleccionar cuidadosamente y se deberan proteger y controlar.
Se debera evitar el uso de los datos operacionales que contienen informacin personal identificable o
cualquier otro tipo de informacin confidencial para fines de prueba. Si se utiliza informacin personal
identificable o de lo contrario, informacin confidencial para fines de prueba, todos los detalles y contenido
sensible se debera proteger mediante su retiro y modificacin (ver ISO/IEC 29101).
Se deberan aplicar las siguientes pautas para proteger los datos operacionales, cuando se utilizan con fines
de pruebas:
a) los procedimientos de control de acceso, que se aplican a los sistemas de aplicacin operacional,
tambin se deberan aplicar a los sistemas de aplicacin de pruebas;
b) debera existir una autorizacin independiente cada vez que se copia la informacin operacional a un
entorno de prueba;
c) la informacin operacional se debera borrar de un entorno de pruebas inmediatamente una vez que haya
finalizado la prueba;
d) se debera registrar la copia y el uso de la informacin operacional para proporcionar un seguimiento de

auditora.
Otra informacin
Las pruebas del sistema y de aceptacin generalmente requieren volmenes sustanciales de datos de
prueba que estn lo ms cercanos posibles a los datos operacionales.

15 Relaciones con los proveedores
15.1 Seguridad de la informacin en las relaciones con los proveedores
Objetivo: garantizar la proteccin de los activos de la organizacin accesibles a los proveedores.
15.1.1 Poltica de seguridad de la informacin para las relaciones con los proveedores
Control
Se deberan acordar los requisitos de seguridad de la informacin para mitigar los riesgos asociados al
acceso de los proveedores a los activos de la organizacin con el proveedor y se deberan documentar
debidamente.
La organizacin debera identificar e imponer controles de seguridad de la informacin para abordar

especficamente el acceso de los proveedores a la informacin de la organizacin en una poltica. Estos
controles deberan abordar los procesos y procedimientos que implementar la organizacin, as como
tambin aquellos procesos y procedimientos que la organizacin debera requerirle al proveedor que
implemente, incluido:
a) la identificacin y la documentacin de los tipos de proveedores, es decir, los servicios de TI, las
utilidades de logstica, los servicios financieros, los componentes de la infraestructura de TI y a quines
autorizar la organizacin para acceder a su informacin;
b) un proceso y ciclo de vida estandarizado para administrar las relaciones con los proveedores;
c) la definicin de los tipos de acceso a la informacin que se les permitir a los distintos tipos de
proveedores y el monitoreo y control del acceso;
d) requisitos mnimos de seguridad de la informacin para cada tipo de informacin y tipo de acceso para
servir de base para los acuerdos individuales con los proveedores en base a las necesidades
comerciales de la organizacin y los requisitos y su perfil de riesgo;
e) procesos y procedimientos para monitorear la adherencia a los requisitos de seguridad de informacin

establecidos para cada tipo de proveedor y tipo de acceso, incluida la revisin de terceros y la validacin
de productos;
f) controles de precisin y nivel de detalles para garantizar la integridad de la informacin o el

procesamiento de informacin que entrega cualquiera de las partes;
g) tipos de obligaciones aplicables a los proveedores para proteger la informacin de la informacin;
h) manejo de incidentes y contingencias asociadas con el acceso a los proveedores, incluidas las
responsabilidades de la organizacin y los proveedores;
i) resiliencia y, en caso de ser necesario, disposiciones de recuperacin y contingencia para garantizar la

disponibilidad de la informacin o el procesamiento de informacin proporcionado por cualquiera de las
partes;
j) capacitacin de concientizacin para el personal de la organizacin involucrado en las adquisiciones

sobre polticas, procesos y procedimientos correspondientes;

k) capacitacin de concientizacin para el personal de la organizacin que interacta con el personal de los
proveedores en cuanto a las reglas adecuadas sobre el compromiso y el comportamiento en base al tipo
de proveedor y el nivel de acceso del proveedor a los sistemas y la informacin de la organizacin;
l) las condiciones sobre los controles y requisitos de seguridad de la informacin se documentarn en un

acuerdo firmado por ambas partes;
m) administracin de las transiciones necesarias de informacin, instalaciones de procesamiento de

informacin y cualquier otra cosa que se deba mover y, garantizando que se mantiene la seguridad de la
informacin a travs de todo el perodo de transicin.
Otra informacin
La informacin no se puede poner en riesgo por los proveedores con una administracin de seguridad de
informacin inadecuada. Se deberan identificar y aplicar controles para administrar el acceso de los
proveedores a las instalaciones de procesamiento de la informacin. Por ejemplo, si existe una necesidad
especial de confidencialidad de la informacin, se pueden utilizar acuerdos de no divulgacin. Otro ejemplo
son los riesgos de proteccin de datos cuando el acuerdo del proveedor involucra la transferencia de o el
acceso a la informacin a travs de las fronteras. La organizacin debera estar en conocimiento de que la
responsabilidad legal o contractual para proteger a la informacin permanece con la organizacin.
15.1.2 Abordar la seguridad dentro de los acuerdos con los proveedores
Control
Se deberan establecer y acordar todos los requisitos de seguridad de la informacin pertinentes con cada
proveedor que puede acceder, procesar, almacenar, comunicar o proporcionar componentes de
infraestructura de TI para la informacin de la organizacin.
Se deberan establecer y documentar acuerdos con los proveedores para garantizar que no existen malos
entendidos entre la organizacin y el proveedor en cuanto a las obligaciones de ambas partes para cumplir
con los requisitos de seguridad de la informacin pertinentes.
Se deberan considerar los siguientes trminos para incluir en los acuerdos y poder satisfacer los requisitos
de seguridad de la informacin identificados:
a) descripcin de la informacin que se debera proporcionar o a la que se debera acceder y los mtodos
para proporcionar o acceder a la informacin;
b) clasificacin de la informacin de acuerdo al esquema de clasificacin de la organizacin (ver 8.2); y si es

necesario tambin realizar el mapeo entre el esquema propio de la organizacin y el esquema de
clasificacin del proveedor;
c) requisitos legales y normativos, incluida la proteccin de datos, los derechos de propiedad intelectual y
derechos de autor y una descripcin de sobre cmo se garantizar si se cumplen;
d) obligacin de cada parte contractual de implementar un conjunto de controles acordados incluido el

control de acceso, la revisin de desempeo, el monitoreo, los informes y la auditora;
e) reglas de uso aceptable de la informacin, incluido en uso inaceptable en caso de ser necesario;
f) una lista explcita del personal autorizado para acceder a o recibir la informacin o los procedimientos o
condiciones de la organizacin para su autorizacin y el retiro de la autorizacin, para el acceso a o la
recepcin de la informacin de la organizacin al personal del proveedor;

g) polticas de seguridad de la informacin pertinentes al contrato especfico;
h) requisitos y procedimientos de la administracin de incidentes (en especial la notificacin y la

colaboracin durante la remediacin de incidentes);
i) requisitos de capacitacin y concientizacin para procedimientos especficos y requisitos de seguridad de

la informacin, es decir, para la respuesta ante incidentes y procedimientos de autorizacin;
j) normativas pertinentes para la subcontratacin, incluidos los controles que se deberan implementar;
k) socios de acuerdos pertinentes, incluida una persona de contacto para los asuntos de seguridad de la
informacin;
l) requisitos de seleccin, si existe alguno, para el personal del proveedor para realizar los procedimientos de
seleccin y notificacin si no se ha completado la seleccin o si los resultados dan pie a dudas o inquietudes;
m) derecho a auditar los procesos y los controles del proveedor relacionados al acuerdo;
n) procesos de resolucin de defectos y resolucin de conflictos;
o) obligacin del proveedor a entregar peridicamente un informe independiente sobre la efectividad de los
controles y un acuerdo sobre la correccin oportuna de los asuntos pertinentes indicados en el informe;
p) obligaciones del proveedor para cumplir con los requisitos de seguridad de la organizacin.
Otra informacin
Los acuerdos pueden variar considerablemente para las distintas organizaciones y entre los distintos tipos de
proveedores. Por lo tanto, se debera tener cuidado de incluir a todos los riesgos y requisitos de seguridad de
la informacin pertinentes. Los acuerdos del proveedor tambin pueden involucrar a otras partes (es decir,
sub-proveedores).
Los procedimientos para continuar el procesamiento en el caso de que el proveedor no pueda suministrar sus
productos o servicios se deberan considerar en el acuerdo para evitar cualquier tipo de retraso en la
disposicin de los productos y servicios de reemplazo.
15.1.3 Cadena de suministro de la tecnologa de informacin y comunicacin
Control
Los acuerdos con los proveedores deberan incluir los requisitos para abordar los riesgos de seguridad de la
informacin asociados con la cadena de suministro de los servicios y productos de tecnologa de informacin
y comunicaciones.
Se deberan considerar los siguientes temas para incluirlos en los acuerdos con el proveedor sobre la
seguridad de la cadena de suministro:
a) definir los requisitos de seguridad de la informacin que se aplicarn a la adquisicin de tecnologas,

productos o servicios de informacin y comunicacin adems de los requisitos de seguridad de la
informacin para las relaciones con el proveedor;
b) para los servicios de tecnologa de informacin y comunicacin, que requieren que los usuarios
propaguen los requisitos de seguridad de la organizacin en toda la cadena de suministro si los
proveedores realizan subcontrataciones para partes del servicio de tecnologa de informacin y
comunicacin proporcionados a la organizacin;

c) para los productos de tecnologa de informacin y comunicacin que requieren que los proveedores
propaguen las prcticas de seguridad correspondientes a travs de toda la cadena de suministro si estos
productos incluyen componentes comprados a otros proveedores;
d) implementacin de un proceso de monitoreo y mtodos aceptables para validar que los productos y
servicios de tecnologa de informacin y comunicacin se adhieren a los requisitos de seguridad
establecidos;
e) implementacin de un proceso para identificar los componentes de los productos o servicios que son
fundamentales para mantener la funcionalidad y que, por lo tanto, requiere una mayor atencin y
escrutinio cuando se desarrollan fuera de la organizacin, especialmente si el proveedor del nivel
superior externalice los aspectos de los componentes de productos o servicios a otros proveedores;
f) obtencin de una garanta de que los componentes crticos y su origen se pueden rastrear en toda la
cadena de suministrar;
g) obtener la garanta de que los productos de tecnologa de informacin y comunicacin entregados

funcionan segn lo esperado sin ninguna funcin inesperada o no deseada;
h) definicin de las reglas para compartir la informacin en cuanto a la cadena de suministro y cualquier
posible problema y compromiso entre la organizacin y los proveedores;
i) implementacin de procesos especficos para administrar el ciclo de vida de los componentes de

tecnologa de informacin y comunicacin junto con la disponibilidad y los riesgos de seguridad
asociados. Esto incluye los riesgos de los componentes que ya no estn disponibles debido a que los
proveedores ya no estn en el negocio o a que ya no proporcionan estos componentes debido a los
avances de la tecnologa.
Otra informacin
Las prcticas de administracin de riesgos de la cadena de suministro de la tecnologa de informacin y

comunicacin especficas se desarrollan sobre la seguridad de la informacin general, la calidad, la
administracin de proyectos y las prcticas de ingeniera del sistema, pero no las reemplazan.
Se aconseja a las organizaciones a trabajar con los proveedores para comprender la cadena de suministro
de la tecnologa de informacin y comunicacin y cualquier otro asunto que tenga un impacto importante en
los productos y servicios que se proporcionan. Las organizaciones pueden influenciar las prcticas de
seguridad de informacin de la cadena de suministro de la tecnologa de informacin y comunicacin
aclarando en los acuerdos con sus proveedores los asuntos que deberan abordar proveedores en la cadena
de suministro de tecnologa de informacin y comunicacin.
La cadena de suministro de tecnologa de informacin y comunicacin segn se aborda aqu incluye los
servicios de computacin en nube.
15.2 Administracin de prestacin de servicios de proveedores
Objetivo: mantener un nivel acordado de seguridad de informacin y prestacin de servicios conforme a los
acuerdos del proveedor.
15.2.1 Monitoreo y revisin de los servicios del proveedor
Control
Las organizaciones deberan monitorear, revisar y auditar la presentacin de servicios del proveedor de
manera regular.

El monitoreo y revisin de los servicios del proveedor debera garantizar que los trminos y condiciones de
seguridad de la informacin de los acuerdos se respeten y que los incidentes y los problemas de seguridad
de la informacin se gestionen correctamente.
Esto debera involucrar un proceso de relacin administrativa de servicios entre la organizacin y el

proveedor para:
a) monitorear los niveles de desempeo del servicio con el fin de verificar la adherencia a los acuerdos;
b) revisar los informes de servicio producidos por el proveedor y organizar reuniones de avance de manera
regular segn lo requieren los acuerdos;
c) realizar auditoras de los proveedores, en conjunto con la revisin de informes de auditores

independientes, en caso de estar disponibles y, un seguimiento de los problemas identificados;
d) proporcionar informacin sobre los incidentes de seguridad y revisar esta informacin segn sea
necesario conforme a los acuerdos y a cualquier pauta o procedimiento de apoyo;
e) revisar los seguimientos de auditora del proveedor y los registros de eventos de seguridad de la
informacin, los problemas operacionales, seguimiento de todas las fallas e interrupciones relacionadas
con el servicio entregado;
f) resolver y gestionar cualquier problema identificado;
g) revisar los aspectos de seguridad de la informacin de las relaciones que tiene el proveedor con sus
propios proveedores;
h) asegurarse de que el proveedor mantiene una capacidad de servicio suficiente junto con planes de
trabajo diseados para garantizar que se mantienen los niveles de continuidad en el servicio luego de
grandes fallas o desastres en el servicio (ver clusula 17).
La responsabilidad de administrar las relaciones del proveedor se deberan asignar a una persona o equipo
de administracin de servicios asignado. Adems, la organizacin se debera asegurar de que los
proveedores asignen responsabilidades para revisar el cumplimiento y hacer cumplir los requisitos de los
acuerdos. Se deberan tener las habilidades y recursos tcnicos suficientes a disponibles para monitorear
que se cumplen los requisitos del acuerdo, en particular los requisitos de seguridad de la informacin. Se
deberan tomar las medidas necesarias cuando se observan deficiencias en la prestacin de servicios.
La organizacin debera retener el control y la visibilidad suficientes en todos los aspectos de seguridad para
la informacin o las instalaciones de procesamiento de informacin sensible o crtica que evala, procesa o
administra un proveedor. La organizacin debera retener la visibilidad en las actividades de seguridad como
la administracin del cambio, la identificacin de vulnerabilidades y los informes y respuestas ante un
incidente de seguridad de informacin a travs de un proceso de informes definido.
15.2.2 Administracin de cambios en los servicios del proveedor
Control
Se deberan administrar los cambios a la provisin de servicios de parte de los proveedores, manteniendo y
mejorando las polticas de seguridad de la informacin, los procedimientos y controles especficos,
considerando la criticidad de la informacin comercial, los sistemas y procesos involucrados y la reevaluacin
de riesgos.

Se deberan considerar los siguientes aspectos:
a) cambios a los acuerdos del proveedor;
b) los cambios realizados por la organizacin por implementar:
1) mejoras a los servicios que se ofrecen actualmente;
2) desarrollo de cualquier nueva aplicacin y sistemas
3) las modificaciones o actualizaciones de las polticas y procedimientos de la organizacin;
4) controles nuevos o cambiados para resolver incidentes de seguridad de la informacin y mejorar la

seguridad;
c) cambios en los servicios del proveedor a implementarse;
1) cambios y mejoras en las redes;
2) uso de nuevas tecnologas;
3) adopcin de nuevos productos o nuevas versiones;
4) nuevas herramientas y entornos de desarrollo;
5) cambios en la ubicacin fsica de las instalaciones de servicios;
6) cambio de proveedores;
7) subcontratacin a otro proveedor.
16 Administracin de incidentes de seguridad de la informacin

16.1 Administracin de incidentes y mejoras de seguridad en la informacin
Objetivo: garantizar un enfoque coherente y eficaz a la administracin de incidentes de seguridad de la
informacin, incluida la comunicacin sobre los eventos y las debilidades de seguridad.
16.1.1 Responsabilidades y procedimientos
Control
Se deberan establecer las responsabilidades y procedimientos de la direccin para garantizar una respuesta
rpida, eficaz y ordenada a los incidentes de seguridad de la informacin.
Se deberan considerar las siguientes pautas para las responsabilidades de la direccin y los procedimientos
respecto de la administracin de incidentes de seguridad de la informacin.
a) las responsabilidades de la direccin se deberan establecer para garantizar que se desarrollan y

comunican los siguientes procedimientos adecuadamente dentro de la organizacin.
1) procedimientos para la planificacin y preparacin de la respuesta ante incidentes;
2) procedimientos para monitorear, detectar, analizar e informar sobre eventos e incidentes de seguridad;
3) procedimientos para registrar actividades de administracin de incidentes;

4) procedimientos para administrar evidencia forense;
5) procedimientos para la evaluacin y la decisin sobre los eventos de seguridad de la informacin y la

evaluacin de las debilidades en la seguridad de la informacin;
6) procedimientos para la respuesta incluidos aquellos para el escalamiento, la recuperacin controlada

desde un incidente y la comunicacin a las personas internas y externas u organizaciones;
b) los procedimientos establecidos deberan garantizar que:
1) el personal competente maneje los problemas relacionados a los incidentes de seguridad de la

informacin dentro de la organizacin;
2) que se implemente un punto de contacto para la deteccin e informe de los incidentes de seguridad.
3) que se mantengan los contactos correspondientes con las autoridades, grupos de inters externos o
foros que manejen los problemas relacionados con los incidentes de seguridad de la informacin;
c) el informe de procedimientos debera incluir:
1) la preparacin de formularios de informes de eventos de seguridad de la informacin para apoyar la

accin del informe y ayudar a la persona que lo hace a recordar todas las actividades necesarias en
caso de un evento de seguridad de la informacin;
2) el procedimiento que se debera realizar en caso de un evento de seguridad de la informacin, es

decir, indicando todos los detalles inmediatamente, como el tipo de incumplimiento, si ocurre una
falla, los mensajes en la pantalla e informar inmediatamente al punto de contacto y realizar solo
acciones coordinadas;
3) referencia a un proceso disciplinario formal establecido para lidiar con los empleados que caen en
incumplimientos de seguridad;
4) procesos de retroalimentacin adecuados para asegurarse de que a aquellas personas que informan
eventos de seguridad se les notifique sobre los resultados una vez que se ha abordado el problema y
se haya cerrado.
Los objetivos para la administracin de incidentes de seguridad se deberan acordar con la direccin y se
debera garantizar que las personas responsables de la administracin de incidentes de seguridad de la
informacin comprendan las prioridades de la organizacin para manejar incidentes de seguridad de la
informacin.
Otra informacin
Los incidentes de seguridad de la informacin pueden trascender los lmites organizacionales y nacionales.
Para responder a dichos incidentes existe una necesidad en aumento para coordinar la respuesta y compartir
informacin sobre estos incidentes con organizaciones existentes segn sea pertinente.
Se proporciona orientacin detallada en la administracin de incidentes de seguridad en ISO/IEC 27035.
16.1.2 Informe de eventos de seguridad de la informacin
Control
Los eventos de seguridad de la informacin se deberan informar a travs de canales de administracin

adecuados lo ms pronto posible.

Todos los empleados y contratistas deberan estar en conocimiento de su responsabilidad para informar los
eventos de seguridad de la informacin lo ms pronto posible. Tambin deberan estar en conocimiento del
procedimiento para informar eventos de seguridad de la informacin y el punto de contacto al que se debera
informar los eventos.
Las situaciones que se deberan considerar para el informe de eventos de seguridad incluyen:
a) control de seguridad ineficaz;
b) incumplimiento de la integridad, la confidencialidad o las expectativas de disponibilidad de la informacin;
c) errores humanos;
d) incumplimientos con las polticas o pautas;
e) incumplimientos en las disposiciones de seguridad fsica;
f) cambios no controlados en el sistema;
g) fallas en el software o hardware;
h) violaciones de acceso.
Otra informacin
Las fallas u otro comportamiento anmalo del sistema puede ser un indicador de un ataque de seguridad o
un incumplimiento real de seguridad y, por lo tanto, siempre se debera informar como un evento de
seguridad de la informacin.
16.1.3 Informe de las debilidades de la seguridad de la informacin
Control
Se debera requerir a los empleados y contratistas que utilizan los sistemas y servicios de informacin de la
organizacin anotar e informar sobre cualquier debilidad sospechosa en la seguridad de la informacin en los
sistemas o servicios.
Todos los empleados y contratistas deberan informar estos asuntos al punto de contacto lo ms rpido
posible para poder evitar los incidentes de seguridad de la informacin. El mecanismo de informes debera
ser fcil, accesible y estar disponible segn sea posible,
Otra informacin
Se debera indicar a los empleados y contratistas que no intenten indagar en debilidades de seguridad
sospechosas. La prueba de debilidades se puede interpretar como un posible uso indebido del sistema y
tambin podra provocar daos al sistema o servicio de informacin y generar una responsabilidad legal para
la persona que realiza la prueba.

16.1.4 Evaluacin de y decisin sobre los eventos de seguridad de la informacin
Control
Se deberan evaluar los eventos de seguridad de la informacin y se debera decidir si se clasificarn como
incidentes de seguridad de la informacin.
El punto de contacto debera evaluar cada evento de seguridad de la informacin utilizando la escala de
clasificacin de eventos e incidentes de seguridad de la informacin y decidir si el evento se debera clasificar
como un incidente de seguridad de la informacin. La clasificacin y la priorizacin de incidentes pueden
ayudar a identificar el impacto y el alcance de un incidente.
En los casos donde la organizacin tenga un equipo de respuesta ante incidentes de seguridad (ISIRT, por
sus siglas en ingls), la evaluacin y la decisin se puede enviar al ISIRT para su confirmacin o
reevaluacin.
Se deberan registrar los resultados de la evaluacin y la decisin en detalle con fines de referencia y
verificacin futuros.
16.1.5 Respuesta ante incidentes de seguridad de la informacin
Control
Se debera responder ante los incidentes de seguridad de la informacin de acuerdo con los procedimientos
documentados.
Un punto de contacto y otras personas pertinentes de la organizacin o partes externas deberan responder
ante los incidentes de seguridad de la informacin (ver 16.1.1).
La respuesta debera incluir lo siguiente:
a) recopilar la evidencia lo ms pronto posible despus de la ocurrencia;
b) realizar anlisis forenses de seguridad de la informacin, segn sea necesario (ver 16.1.7);
c) escalamiento, segn sea necesario;
d) asegurarse de que todas las actividades de respuesta se registren correctamente para el posterior
anlisis;
e) comunicacin de la existencia del incidente de seguridad de la informacin o cualquier detalle pertinente

a otras personas u organizaciones internas o externas con una necesidad de saber;
f) manejar las debilidades de la seguridad de la informacin que causan o contribuyen al incidente;
g) una vez que se ha manejado el incidente correctamente, se debera cerrar y registrar formalmente.
Se debera realizar un anlisis post-incidente, segn sea necesario, para identificar el origen del incidente.
Otra informacin
El primer objetivo de la respuesta ante incidentes es reanudar el nivel de seguridad normal y luego iniciar la
recuperacin necesaria.

16.1.6 Aprendizaje de los incidentes de seguridad de la informacin
Control
Se debera utilizar el conocimiento obtenido del anlisis y la resolucin de incidentes de seguridad de la

informacin para reducir la probabilidad o el impacto de incidentes futuros.
Deberan existir mecanismos para permitir los tipos, los volmenes y los costos de los incidentes de
seguridad de la informacin que se van a cuantificar y monitorear. Se debera utilizar la informacin obtenida
de la evaluacin de los incidentes de seguridad de la informacin para identificar los incidentes recurrentes o
de alto impacto.
Otra informacin
La evaluacin de los incidentes de seguridad de la informacin puede indicar la necesidad de contar con
controles mejorados o adicionales para limitar la frecuencia, el dao y el costo de las ocurrencias futuras o
bien se deberan considerar en el proceso de revisin de polticas de seguridad (ver 5.1.2).
Con el debido cuidado de los aspectos de confidencialidad, se pueden utilizar las ancdotas de los incidentes
reales de informacin de la seguridad en la capacitacin de concientizacin a los usuarios (ver 7.2.2) como
ejemplos que pueden suceder, cmo responder a dichos incidentes y cmo evitarlos en el futuro.
16.1.7 Recopilacin de evidencia
Control
La organizacin debera definir y aplicar los procedimientos necesarios para la identificacin, recopilacin,
adquisicin y preservacin de la informacin que puede servir de evidencia.
Se deberan desarrollar procedimientos internos y se deberan seguir al tratar con evidencia para propsitos
de acciones legales y disciplinarias.
En general, estos procedimientos para la evidencia deberan proporcionar procesos para la identificacin,
recopilacin, adquisicin y preservacin de evidencia de acuerdo a los distintos tipos de medios, dispositivos
y estado de los dispositivos, es decir, encendidos o apagados. Los procedimientos deberan considerar:
a) cadena de custodia;
b) seguridad de la evidencia;
c) seguridad del personal;
d) roles y responsabilidades del personal involucrado;
e) competencia del personal;
f) documentacin;
g) sesin informativa.
Donde corresponda, se deberan buscar certificaciones u otros medios de calificacin del personal y
herramientas pertinentes, para reforzar el valor de la evidencia preservada;

La evidencia forense puede trascender los lmites organizacionales o jurisdiccionales. En tales casos, se
debera garantizar que la organizacin tenga el derecho a recopilar la informacin necesaria como evidencia
forense. Tambin se deberan considerar los requisitos de distintas jurisdicciones para maximizar las
probabilidades de admisin en las jurisdicciones pertinentes.
Otra informacin
La identificacin es el proceso de involucrar la bsqueda de, el reconocimiento y la documentacin de la

posible evidencia. La recopilacin es el proceso de reunir los elementos fsicos que pueden contener posibles
evidencias. La adquisicin es el proceso de creacin de una copia de datos dentro de un conjunto definido.
La preservacin es el proceso para mantener y resguardar la integridad y la condicin original de la posible
evidencia.
Cuando se detecta un evento de seguridad de la informacin por primera vez, puede no resultar obvio si el
evento resultar o no en una accin de tribunales. Por lo tanto, existe el peligro de que se destruya la
evidencia necesaria de manera intencional o accidental antes de que se reconozca la gravedad del incidente.
Resulta aconsejable involucrar a un abogado o a la polica al comienzo de cualquier accin legal
contemplada y recibir asesora sobre la evidencia necesaria.
La norma ISO/IEC 27037 brinda orientacin para la identificacin, la recopilacin, la adquisicin y la

preservacin de evidencia digital.
17 Aspectos de la seguridad de la informacin de la administracin de la continuidad

comercial
17.1 Continuidad de la seguridad de la informacin
Objetivo: la continuidad de la seguridad de la informacin se debera integrar en los sistemas de

administracin de continuidad comercial.
17.1.1 Planificacin de la continuidad de la seguridad en la informacin
Control
La organizacin debera determinar sus requisitos para la seguridad de la informacin y la continuidad de la

administracin de la seguridad de la informacin ante situaciones adversas, es decir, durante una crisis o
desastre.
Una organizacin debera determinar si la continuidad de la seguridad de la informacin se incluye dentro del
proceso de administracin de continuidad del negocio o dentro del proceso de administracin de
recuperacin ante desastres. Se deberan determinar los requisitos de seguridad de la informacin al
planificar la continuidad comercial y la recuperacin ante desastres.
En la ausencia de una continuidad comercial formal y una planificacin de recuperacin ante desastres, la
administracin de seguridad de la informacin debera suponer que los requisitos de seguridad de la
informacin siguen siendo los mismos ante situaciones adversas, en comparacin con las condiciones
operacionales normales. De manera alternativa, una organizacin puede desarrollar un anlisis de impacto
comercial para los aspectos de seguridad de la informacin y determinar los requisitos de seguridad de la
informacin que se aplican a situaciones adversas.

Otra informacin
Para poder reducir el tiempo y el esfuerzo de un anlisis de impacto comercial adicional para la seguridad
de la informacin, se recomienda capturar los aspectos de seguridad de la informacin dentro de la
administracin de la continuidad comercial normal o el anlisis de impacto en el negocio de la administracin
de recuperacin ante desastres. Esto implica que los requisitos de continuidad de la seguridad de la
informacin se formulan explcitamente en la administracin de la continuidad del negocio o en los procesos
de administracin de recuperacin ante desastres.
Puede encontrar informacin sobre la administracin de continuidad comercial en ISO/IEC 27031, ISO 22313
e ISO 22301.
17.1.2 Implementacin de la continuidad de la seguridad de la informacin
Control
La organizacin debera establecer, documentar, implementar y mantener los procesos, procedimientos y

controles para garantizar el nivel necesario de continuidad para la seguridad de la informacin durante
situaciones adversas.
Una organizacin se debera asegurar de lo siguiente:
a) exista una estructura de administracin adecuada para prepararse para, mitigar y responder ante un
evento disruptivo que utiliza personal con la autoridad, la experiencia y la competencia necesaria;
b) se nomine al personal de respuesta ante incidentes con la responsabilidad, la autoridad y la competencia

necesaria para administrar un incidente y mantener la seguridad de la informacin;
c) que se desarrollen y aprueben planes documentados, los procedimientos de respuesta y recuperacin

detallando cmo la organizacin administrar un evento disruptivo y mantendr la seguridad de su
informacin a un nivel predeterminado, en base a los objetivos de continuidad de la seguridad de la
informacin aprobada por la direccin (ver 17.1.1).
De acuerdo a los requisitos de continuidad de la seguridad de la informacin, la organizacin debera

establecer, documentar, implementar y mantener:
a) controles de seguridad de la informacin dentro de la continuidad comercial o los procesos,

procedimientos y sistemas y herramientas de apoyo;
b) procesos, procedimientos y cambios de implementacin para mantener los controles de seguridad de la

informacin existentes durante una situacin adversa;
c) controles de compensacin para los controles de seguridad de la informacin que no se pueden

mantener durante una situacin adversa.
Otra informacin
Es posible que se hayan establecido procesos y procedimientos especficos dentro del contexto de la
continuidad comercial o de la recuperacin ante desastres. Se debera proteger la informacin que se maneja
dentro de estos procesos y procedimientos o dentro de los sistemas de informacin dedicados para
apoyarlos. Por lo tanto, una organizacin debera:
Involucrar a especialistas de seguridad de la informacin al establecer, implementar y mantener la

continuidad comercial o los procesos y procedimientos de recuperacin ante desastres.

Los controles de seguridad de la informacin que se han implementado deberan seguir funcionando durante
una situacin adversa. Si los controles de seguridad no pueden continuar resguardando la informacin, se
deberan establecer, implementar y mantener otros controles para mantener un nivel aceptable de seguridad
de la informacin.
17.1.3 Verificar, revisar y evaluar la continuidad de la seguridad de la informacin
Control
La organizacin debera verificar los controles de continuidad de seguridad de la informacin establecidos e

implementados en intervalos regulares y poder asegurar que son vlidos y eficaces durante situaciones
adversas.
Los cambios organizacionales, tcnicos de procedimientos y procesos, ya sean en un contexto operacional o

de continuidad, pueden dar pie a cambios en los requisitos de continuidad de la seguridad de la informacin.
En tales casos, la continuidad de los procesos, procedimientos y controles para la seguridad de la
informacin se deberan revisar contra estos requisitos cambiados.
Las organizaciones deberan verificar la continuidad de la administracin de la seguridad de la informacin de

la siguiente forma:
a) el ejercicio y las pruebas de la funcionalidad de los procesos, procedimientos y controles de continuidad

de la seguridad de la informacin para garantizar que son coherentes con los objetivos de continuidad de
la seguridad de la informacin;
b) el ejercicio y las pruebas del conocimiento y la rutina para operar los procesos, procedimientos y
controles de continuidad de la seguridad de la informacin para garantizar que su desempeo es
coherentes con los objetivos de continuidad de la seguridad de la informacin;
c) revisin de la validez y la efectividad de las medidas de continuidad de la seguridad de la informacin

cuando cambian los sistemas de informacin, los procesos, los procedimientos y los controles de
seguridad de la informacin, o los procesos y soluciones de administracin de administracin de
continuidad comercial/recuperacin ante desastres.
Otra informacin
La verificacin de los controles de continuidad de la seguridad de la informacin es distinta de las pruebas y

verificacin de seguridad de la informacin y se debera realizar fuera de las pruebas de los cambios. Si es
posible, resulta preferible integrar la verificacin de los controles de continuidad de la seguridad de la
informacin con la continuidad comercial de la organizacin o las pruebas de recuperacin ante desastres.
17.2 Redundancias
Objetivo: garantizar la disponibilidad de las instalaciones de procesamiento de informacin.
17.2.1 Disponibilidad de las instalaciones de procesamiento de la informacin
Control
Las instalaciones de procesamiento de la informacin se deberan implementar con la suficiente redundancia

para cumplir con los requisitos de disponibilidad.

Las organizaciones deberan identificar los requisitos comerciales para la disponibilidad de los sistemas de
informacin. Cuando no se pueda garantizar la disponibilidad a travs de la arquitectura de sistemas
existente, se deberan considerar los componentes o arquitecturas redundantes.
Donde corresponda, se deberan probar los sistemas de informacin redundantes para garantizar que la
conmutacin por error de un componente a otro funcione adecuadamente.
Otra informacin
La implementacin de redundancias puede introducir riesgos a la integridad o a la confidencialidad de la

informacin y los sistemas de informacin que se deberan considerar al disear los sistemas de informacin.
18 Cumplimiento
18.1 Cumplimiento con los requisitos legales y contractuales
Objetivo: evitar incumplimientos a las obligaciones legales, estatutarias, normativas o contractuales

relacionadas a la seguridad de la informacin y a cualquier requisito de seguridad.
18.1.1 Identificacin de los requisitos de legislacin y contractuales correspondientes
Control
Todos los requisitos estatutarios, normativos y contractuales legislativos y el enfoque de la organizacin para
cumplir con estos requisitos de deberan identificar, documentar y mantener al da de manera explcita para
cada sistema de informacin y la organizacin.
Los controles especficos y las responsabilidades individuales para cumplir con estos requisitos tambin se
deberan definir y documentar.
Los gerentes deberan identificar toda la legislacin que se aplica a su organizacin para poder cumplir con
los requisitos para su tipo de negocio. Si la organizacin realiza negocios en otros pases, los gerentes
deberan considerar el cumplimiento en todos los pases pertinentes.
18.1.2 Derechos de propiedad intelectual
Control
Se deberan implementar procedimientos adecuados para garantizar el cumplimiento con los requisitos
legislativos, normativos y contractuales relacionados con los derechos de propiedad intelectual y utilizar
productos de software propietario.
Se deberan considerar las siguientes pautas para proteger a cualquier material que se puede considerar
como propiedad intelectual:
a) la publicacin de una poltica de cumplimiento de derechos de propiedad intelectual que define el uso
legal de software y productos de informacin;
b) la adquisicin de software solo a travs de fuentes conocidas y con buena reputacin, para garantizar
que no se transgreda el derecho de autor;

c) mantener la concientizacin de las polticas para proteger los derechos de propiedad intelectual dando
aviso de la intencin de tomar medidas disciplinarias contra el personal que las incumple.
d) mantener registros de activos adecuados y la identificacin de todos los activos con los requisitos para
proteger los derechos de propiedad intelectual;
e) mantener pruebas y evidencias de la propiedad de las licencias, discos maestros, manuales, etc.;
f) implementar controles para garantizar que cualquier nmero mximo de usuarios permitidos dentro la
licencia no se exceda;
g) realizacin de revisiones para verificar que solo se instale software y productos licenciados;
h) proporcionar una poltica para mantener las condiciones adecuadas de las licencias;
i) proporcionar una poltica para eliminar o transferir el software a otros;
j) cumplir con los trminos y condiciones para el software y la informacin obtenida de redes pblicas;
k) no duplicar, convertir a otro formato ni extraer de grabaciones comerciales (pelcula, audio) a no ser que
lo permita la ley de derecho de autor;
l) no copiar libros, artculos, informes u otros documentos en su totalidad o en parte, que no sean los
permitidos por la ley de derecho de autor.
Otra informacin
Los derechos de propiedad intelectual incluyen los derechos de autor del software o documentos, derechos
de diseo, marcas registradas, patentes y licencias de cdigo de fuente.
Los productos de software propietario generalmente se suministran bajo un acuerdo de licencia que
especifica los trminos y condiciones de la licencia, por ejemplo, limitando el uso de productos a mquinas
especficas o limitando la copia a la creacin de copias de respaldo solamente. La importancia y el
conocimiento de los derechos de propiedad intelectual se deberan comunicar al personal para el desarrollo
de software de la organizacin.
Los requisitos legislativos, normativos y contractuales pueden imponer restricciones en la copia de material
propietario. En particular, pueden requerir que se utilice solamente material que desarrolla la organizacin o
que tiene licencia, o que proporciona el desarrollador a la organizacin. Las infracciones al derecho de autor
pueden llevar a acciones legales, que pueden involucrar multas y procesos penales.
18.1.3 Proteccin de registros
Control
Los registros se deberan proteger contra prdidas, destruccin, falsificacin, acceso no autorizado y
publicacin no autorizada de acuerdo con los requisitos legislativos, normativos, contractuales y comerciales.
Al decidir sobre la proteccin de los registros organizacionales especficos, se debera considerar su

clasificacin correspondiente en base al esquema de clasificacin de la organizacin. Los registros se
deberan categorizar en tipos de registros, es decir, registros de contabilidad, registros de bases de datos,
registros de transacciones, registros de auditora y procedimientos operacionales, cada uno con detalles de
los perodos de retencin y el tipo de medios de almacenamiento permitidos, es decir, papel, microficha,
magntico, ptico. Cualquier clave y programa criptogrfico relacionado asociado a los archivos cifrados o
firmas digitales (ver clusula 10), se debera almacenar para permitir la descripcin de los registros por el
tiempo en que se retengan los registros.

Se debera tener en consideracin la posibilidad del deterioro de los medios que se utilizan para el
almacenamiento de registros. Se deberan implementar procedimientos de almacenamiento y manipulacin
de acuerdo con las recomendaciones del fabricante.
Donde se elijan medios de almacenamiento electrnico, se deberan establecer procedimientos para

garantizar la capacidad de acceder a los datos (legibilidad de medios y formato) por todo el perodo de
retencin para protegerlos contra la prdida debido a cambios en la futura tecnologa.
Se deberan seleccionar sistemas de almacenamiento de datos para que se puedan recuperar los datos en
un perodo de tiempo y formato aceptable, en funcin de los requisitos que se deberan cumplir.
El sistema de almacenamiento y manipulacin debera garantizar la identificacin de registros y su perodo de

retencin segn lo define la legislacin y las normativas nacionales y regionales, si corresponde. Este
sistema debera permitir la destruccin adecuada de los registros despus de ese perodo si la organizacin
ya no los necesita.
Para cumplir con estos objetivos de resguardo de registros, se deberan realizar los siguientes pasos dentro
de una organizacin:
a) se deberan emitir pautas sobre la retencin, el almacenamiento, el manejo y la eliminacin de los

registros y de la informacin;
b) se debera establecer un programa de retencin que identifique los registros y el perodo de tiempo en el
que se deberan retener;
c) se debera mantener un inventario de las fuentes de informacin clave.
Otra informacin
Es posible que se deban retener algunos registros de manera segura para cumplir con los requisitos
estatutarios o contractuales, as como tambin para apoyar actividades comerciales esenciales. Algunos
ejemplos incluyen registros que pueden ser necesarios como evidencia de que una organizacin opera
dentro de las reglas estatutarias o normativas, para garantizar la defensa contra posibles acciones penales o
civiles o para confirmar el estado financiero de una organizacin a los accionistas, partes externas y
auditores. La ley o normativa nacional puede establecer el perodo de tiempo y el contenido de datos para la
retencin de la informacin.
Puede encontrar ms informacin sobre la administracin de los registros organizacionales en ISO 15489-1.
18.1.4 Privacidad y proteccin de informacin personal identificable
Control
Se debera garantizar la privacidad y la proteccin de la informacin personal identificable segn se requiere

en la legislacin y las normativas pertinentes donde corresponda.
Se debera desarrollar e implementar una poltica de datos de la organizacin para la privacidad y proteccin
de la informacin personal identificable. Esta poltica se debera comunicar a todas las personas involucradas
en el procesamiento de informacin personal identificable.
El cumplimiento con esta poltica y toda la legislacin y normativas pertinentes sobre la proteccin de la
privacidad de las personas y la proteccin de la informacin personal identificable requiere la estructura y
control de administracin adecuada. A menudo esto se logra de mejor manera mediante la asignacin de una
persona responsable, como un funcionario encargado de la privacidad, quien debera brindar orientacin a
los gerentes, usuarios y proveedores de servicio sobre sus responsabilidades individuales y procedimientos

especficos que se deberan seguir. La responsabilidad de manejar informacin personal identificable y de

garantizar el conocimiento de los principios de privacidad se debera abordar de acuerdo con la legislacin y
las normativas pertinentes. Se deberan implementar las medidas tcnicas y organizacionales adecuadas
para proteger la informacin personal identificable.
Otra informacin
ISO/IEC 29100 proporciona un marco de alto nivel para la proteccin de informacin personal identificable
dentro de los sistemas de tecnologa de informacin y comunicacin. Ciertos pases han introducido controles
de legislacin sobre la recopilacin, el procesamiento y la transmisin de informacin personal identificable
(generalmente la informacin que yace en personas que se pueden identificar a partir de esa informacin). En
funcin de la legislacin nacional correspondiente, dichos controles pueden imponer deberes en aquellas
personas que recopilan, procesan y diseminan informacin personal identificable y tambin pueden restringir
la capacidad de transferir informacin personal identificable a otros pases.
18.1.5 Regulacin de controles criptogrficos
Control
Se deberan utilizar controles criptogrficos en cumplimiento con todos los acuerdos, la legislacin y las
normativas pertinentes.
Se deberan considerar los siguientes elementos para el cumplimiento con los acuerdos, las leyes y
normativas pertinentes:
a) restricciones sobre la importacin o exportacin de hardware y software informtico para realizar

funciones criptogrficas;
b) las restricciones sobre la importacin o la exportacin sobre el hardware y software informtico que est
diseado para tener funciones criptogrficas agregadas;
c) restricciones sobre el uso del cifrado;
d) mtodos obligatorios o discrecionales de acceso por parte de las autoridades del pas a la informacin
cifrada por hardware o software para proporcionar la confidencialidad del contenido.
Se debera buscar asesora legal para garantizar el cumplimiento con la legislacin y las normativas
pertinentes. Antes de que se mueva la informacin cifrada o los controles criptogrficos a travs de las
fronteras jurisdiccionales, tambin se debera buscar asesora legal.
18.2 Revisiones de la seguridad de la informacin
Objetivo: garantizar que se implementa y opera la seguridad de la informacin de acuerdo a las polticas y
procedimientos organizacionales.
18.2.1 Revisin independiente de la seguridad en la informacin
Control
El enfoque de la organizacin para administrar la seguridad de la informacin y su implementacin (es decir,

los objetivos de control, los controles, las polticas, los procesos y procedimientos para la seguridad de la
informacin) se deberan revisar independientemente en intervalos planificados o cuando ocurren cambios
significativos.

La direccin debera iniciar la revisin independiente. Una revisin independiente es necesaria para asegurar
la idoneidad, adecuacin y efectividad continua del enfoque de la organizacin para administrar la seguridad
de la informacin. La revisin debera incluir la evaluacin de oportunidades de mejora y la necesidad de
cambios en el enfoque de la seguridad, incluidos los objetivos de poltica y control.
Dicha revisin la deberan realizar personas independientes del rea bajo revisin, es decir, la funcin de
auditora interna, un gerente independiente o una organizacin externa que se especialice en dichas
revisiones. Las personas que realizan estas revisiones deberan contar con las habilidades y experiencia
adecuada.
Los resultados de la revisin independiente se deberan registrar e informar a la direccin que inici esta
revisin. Se deberan mantener estos registros.
Si la revisin independiente identifica que el enfoque y la implementacin de la organizacin para administrar

la seguridad de la informacin es inadecuada, es decir, que no se cumplen los objetivos y requisitos
adecuados o que no cumplen con la indicacin de seguridad de la informacin establecida en las polticas de
seguridad de la informacin (ver 5.1.1), la direccin debera considerar tomar medidas correctivas.
Otra informacin
ISO/IEC 27007, Guidelines for information security management systems auditing e ISO/IEC TR 27008,
Guidelines for auditors on information security controls tambin brindan orientacin para realizar la revisin
independiente.
18.2.2 Cumplimiento con las polticas y normas de seguridad
Control
Los gerentes deberan revisar regularmente el cumplimiento del procesamiento y los procedimientos de
informacin dentro de su rea de responsabilidad con las polticas, normas y cualquier otro tipo de requisitos
de seguridad correspondientes.
Los gerentes deberan identificar cmo verificar que se cumplen esos requisitos de seguridad de la
informacin definidos en las polticas, normas y otras normativas pertinentes. Se debera considerar la
medicin automtica y herramientas de informes para la revisin regular eficiente.
Si se encuentra cualquier falta de cumplimiento como resultado de la revisin, los gerentes deberan:
a) identificar las causas del incumplimiento;
b) evaluar la necesidad que tienen las acciones para lograr el cumplimiento;
c) implementar acciones correctivas adecuadas;
d) revisar la accin correctiva tomada para verificar su efectividad e identificar cualquier tipo de deficiencias
y falencias.
Los resultados de las revisiones y acciones correctivas que realizan los gerentes se deberan registrar y se
deberan mantener estos registros. Los gerentes deberan informar los resultados a las personas que realizan
revisiones independientes (ver 18.2.1) cuando se realiza una revisin independiente en el rea de su
responsabilidad.

Otra informacin
El uso del monitoreo operacional del sistema se cubre en 12.4.
18.2.3 Revisin de cumplimiento tcnico
Control
Los sistemas de informacin se deberan revisar regularmente para verificar su cumplimiento con las polticas
y normas de seguridad de la informacin de la organizacin.
El cumplimiento tcnico se debera revisar de preferencia con la asistencia de herramientas automatizadas,

que generan informes tcnicos para la interpretacin posterior por parte de un especialista tcnico. De
manera alternativa, un ingeniero en sistemas con experiencia puede realizar revisiones manuales (con el
apoyo de herramientas de software correspondientes, en caso de ser necesario).
Si se utilizan pruebas de penetracin o evaluaciones de vulnerabilidad, se debera tener precaucin, pues

tales actividades podran comprometer la seguridad del sistema. Esas pruebas se deberan planificar,
documentar y deberan ser repetibles.
Cualquier tipo de revisin de cumplimiento tcnico solo deberan realizarlas personas autorizadas
competentes o personas que estn bajo la supervisin de dichas personas.
Otra informacin
Las revisiones de cumplimiento tcnico involucran el anlisis de los sistemas operacionales para asegurarse
de que se han implementado correctamente los controles de hardware y software. Este tipo de revisin de
cumplimiento requiere la experiencia tcnica de un especialista.
Las revisiones de cumplimiento tambin abarcan, por ejemplo, las pruebas de penetracin y las evaluaciones
de vulnerabilidad, que pueden realizarlas expertos independientes que se han contratado especficamente
para este fin. Esto puede ser til para detectar las vulnerabilidades en el sistema y para inspeccionar cuan
eficaces son los controles para evitar el acceso no autorizado debido a estas vulnerabilidades.
Las evaluaciones de pruebas de penetracin y vulnerabilidades brindan una visin global de un sistema en
un estado especfico y en un perodo de tiempo especfico. La visin global se limita a aquellas porciones del
sistema que se prueban durante los intentos de penetracin. Las pruebas de penetracin y las evaluaciones
de vulnerabilidad no son un sustituto para la evaluacin de riesgos.
ISO/IEC TR 27008 brinda una orientacin especfica en cuanto a las revisiones de cumplimiento tcnico.

Anexo A
(informativo)
Bibliografa
[1] ISO/IEC Directives,

Part 2
[2] ISO/IEC 11770-1 Information technology Security techniques - Key management - Part 1:
Framework.
[3] ISO/IEC 11770-2 Information technology - Security techniques - Key management - Part 2:
Mechanisms using symmetric techniques.
[4] ISO/IEC 11770-3 Information technology - Security techniques - Key management - Part 3:
Mechanisms using asymmetric techniques.
[5] ISO 15489-1 Information and documentation - Records management - Part 1: General.
[6] ISO/IEC 20000-1 Information technology - Service management - Part 1: Service management
system requirements.
[7] ISO/IEC 20000-2 Information technology - Service management - Part 2: Guidance on the
application of service management systems.
[8] ISO 22301 Societal security - Business continuity management systems - Requirements.
[9] ISO 22313 Societal security - Business continuity management systems - Guidance.
[10] ISO/IEC 27001 Information technology - Security techniques - Information security

management systems - Requirements.
[11] ISO/IEC 27005 Information technology - Security techniques - Information security risk
management.
[12] ISO/IEC 27007 Information technology - Security techniques - Guidelines for information
security management systems auditing.
[13] ISO/IEC TR 27008 Information technology - Security techniques - Guidelines for auditors on
information security controls.
[14] ISO/IEC 27031 Information technology - Security techniques - Guidelines for information and
communication technology readiness for business continuity.
[15] ISO/IEC 27033-1 Information technology - Security techniques - Network security - Part 1:
Overview and concepts.
Guidelines for the design and implementation of network security.

[17] ISO/IEC 27033-3 Information technology - Security techniques - Network security - Part 3: Reference
networking scenarios - Threats, design techniques and control issues.
Securing communications between networks using security gateways.
[19] ISO/IEC 27033-5 Information technology - Security techniques - Network security - Part 5: Securing
communications across networks using Virtual Private Network (VPNs).
[20] ISO/IEC 27035 Information technology - Security techniques - Information security incident
management.
[21] ISO/IEC 27036-1 Information technology - Security techniques - Information security for supplier
relationships - Part 1: Overview and concepts.
relationships - Part 2: Common requirements.
relationships - Part 3: Guidelines for ICT supply chain security.
[24] ISO/IEC 27037 Information technology - Security techniques - Guidelines for identification,
collection, acquisition and preservation of digital evidence.
[25] ISO/IEC 29100 Information technology - Security techniques - Privacy framework.
[26] ISO/IEC 29101 Information technology - Security techniques - Privacy architecture framework.
[27] ISO 31000 Risk management - Principles and guidelines.
NOTA EXPLICATIVA NACIONAL
La equivalencia de las Normas Internacionales sealadas anteriormente con Norma Chilena, y su grado de
correspondencia es el siguiente:
Norma Internacional Norma nacional Grado de correspondencia

ISO/IEC 11770-1 No hay -
ISO 15489-1 NCh-ISO 15489/1:2010 La Norma Chilena NCh-ISO 15489:2010 es una
adopcin idntica de la versin en ingls de la
Norma Internacional ISO 15489-1:2001.
ISO/IEC 20000-1 NCh-ISO 20000/1:2013 La Norma Chilena NCh-ISO 20000/1:2013 es una
adopcin idntica de la versin en ingls de la Norma
Internacional ISO/IEC 20000-1:2011.
ISO/IEC 20000-2 NCh-ISO 20000/2:2013 La Norma Chilena NCh-ISO 20000/2:2013 es una
Internacional ISO/IEC 20000-2:2012.
(contina)

(conclusin)
ISO 22301 NCh-ISO 22301:2013 La Norma Chilena NCh-ISO 22301:2013 es una
Internacional ISO 22301:2012.
ISO 22313 En estudio
ISO/IEC 27001 NCh-ISO 27001:2013 La Norma Chilena NCh-ISO 27001:2013 es una
Internacional ISO/IEC 27001:2013.
Internacional ISO/IEC 27005:2008.
Internacional ISO/IEC FDIS 27007:2011.
ISO/IEC TR 27008 No hay -
ISO 31000 NCh-ISO 31000:2012 La Norma Chilena NCh-ISO 31000:2012 es una
Internacional ISO 31000:2009.

Anexo B
(informativo)
Justificacin de los cambios editoriales
Tabla B.1 - Cambios editoriales
Clusula/subclusula Cambios editoriales Justificacin
En toda la norma Se reemplaza "esta Norma Internacional" La norma es de alcance nacional.

por "esta norma".
1 Se reemplaza "Alcance" por "Alcance y De acuerdo a estructura de NCh2.
campo de aplicacin".
2 y Anexo A Se agrega Nota Explicativa Nacional. Para detallar la equivalencia y el grado de
correspondencia de las Normas
Internacionales con las Normas Chilenas.

ICS 35.040
INN 2013 - Todos los derechos reservados

NCH ISO 27002 2013

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

NCH ISO 27002 2013

Cargado por

Copyright:

Formatos disponibles

NORMA NCh-ISO 27002

Tecnologas de la informacin - Tcnicas

Information technology - Security techniques - Code of practice for

DOCUMENTO PROTEGIDO POR COPYRIGHT

Instituto Nacional de Normalizacin - INN

Prembulo ............................................................................................................................................. iii

INN 2012 - Todos los derechos reservados i

13 Seguridad en las comunicaciones .................................................................................................... 58

ii INN 2013 - Todos los derechos reservados

Tecnologas de la informacin - Tcnicas de seguridad - Cdigo

La Nota Explicativa incluida en un recuadro en clusula 2 Referencias normativas y Anexo A Bibliografa, es

Los Anexos A y B no forman parte de la norma, se insertan slo a ttulo informativo.

INN 2012 - Todos los derechos reservados iii

Tecnologas de la informacin -Tcnicas de seguridad - Cdigo

0.1 Alcance y contexto

En un sentido ms amplio, la seguridad de la informacin eficaz tambin garantiza a la direccin y a otras

INN 2013 - Todos los derechos reservados 1

0.2 Requisitos de la seguridad de la informacin

c) el conjunto de principios, objetivos y requisitos comerciales para el manejo, el procesamiento, el

La norma ISO/IEC 27005 proporciona orientacin sobre la administracin de riesgos de seguridad de la

0.3 Seleccin de controles

0.4 Desarrollo de sus propias pautas

0.5 Consideraciones sobre el ciclo de vida

2 INN 2013 - Todos los derechos reservados

0.6 Normas relacionadas

1 Alcance y campo de aplicacin

a) seleccionar controles dentro del proceso de implementacin de un Sistema de Administracin de

b) implementar controles de seguridad de la informacin de aceptacin comn;

c) desarrollar sus propias pautas de administracin de seguridad de la informacin.

El siguiente documento, en su totalidad o en parte, hace referencia a la normativa de este documento y es

ISO/IEC 27000 Information technology - Security techniques - Information security management

NOTA EXPLICATIVA NACIONAL

Norma internacional Norma nacional Grado de correspondencia

ISO/IEC 27000 No hay -

INN 2013 - Todos los derechos reservados 3

4 Estructura de esta norma

4.2 Categoras de control

a) un objetivo de control que indica lo que se lograr;

b) uno o ms controles que se pueden aplicar para lograr el objetivo de control.

Las descripciones de control se estructuran de la siguiente forma:

Define el enunciado del control especfico para satisfacer el objetivo de control.

Orientacin sobre la implementacin

5 Polticas de seguridad de la informacin

5.1.1 Polticas para la seguridad de la informacin

Se debera definir un conjunto de polticas para la seguridad de la informacin y la debera aprobar la

Orientacin sobre la implementacin

4 INN 2013 - Todos los derechos reservados

b) normativas, legislacin y contratos;

c) el entorno de amenazas a la seguridad actual y proyectada.

La poltica de seguridad de la informacin debera tener enunciados respecto a lo siguiente:

b) asignacin de responsabilidades generales y especficas para la administracin de la seguridad de la

c) procesos para manejar desviaciones y excepciones.

Algunos ejemplos de dichos temas de polticas incluyen:

a) control de accesos (ver clusula 9);

b) clasificacin de la informacin (y manejo) (ver 8.2);

c) seguridad fsica y ambiental (ver clusula 11);

d) temas orientados al usuario final como:

1) uso aceptable de activos (ver 8.1.3);

2) escritorio despejado y pantalla despejada (ver 11.2.9);

3) transferencia de informacin (ver 13.2.1);

4) dispositivos mviles y teletrabajo (ver 6.2);

5) restricciones sobre las instalaciones y el uso de software (ver 12.6.2);

e) respaldo (ver 12.3);